CVE-2026-34602 in LMSinformation

Résumé

par VulDB • 02/06/2026

Chamilo LMS est un système de gestion de l'apprentissage (LMS) open source. Dans les versions antérieures à la 2.0.0-RC.3, le point de terminaison /api/course_rel_users est vulnérable à une Référence Directe d'Objet Non Sécurisée (IDOR), permettant à un attaquant authentifié de modifier le paramètre user dans le corps de la requête pour inscrire n'importe quel utilisateur arbitraire à n'importe quel cours sans vérifications d'autorisation appropriées. Le backend fait confiance aux données fournies par l'utilisateur pour le champ user et n'effectue aucune vérification côté serveur pour s'assurer que le demandeur possède l'ID d'utilisateur référencé ou dispose des autorisations nécessaires pour agir au nom d'autres utilisateurs. Cela permet une manipulation non autorisée des relations utilisateur-cours, pouvant potentiellement accorder un accès non prévu aux supports de cours, contourner les contrôles d'inscription et compromettre l'intégrité de la plateforme. Ce problème a été corrigé dans la version 2.0.0-RC.3.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Réserver

30/03/2026

Divulgation

15/04/2026

Modérer

accepté

Entrée

VDB-357597

CPE

prêt

EPSS

0.00203

KEV

non

Activités

très faible

Sources

Interested in the pricing of exploits?

See the underground prices here!