CVE-2026-33707 in LMS
Riassunto
di VulDB • 21/06/2026
Chamilo LMS è un sistema di gestione dell'apprendimento (LMS). Prima delle versioni 1.11.38 e 2.0.0-RC.3, il meccanismo predefinito per la reimpostazione della password genera token utilizzando sha1($email) senza alcun componente casuale, senza scadenza e senza limitazioni di frequenza (rate limiting). Un attaccante che conosce l'email di un utente può calcolare il token di reimpostazione e modificare la password della vittima senza autenticazione. Questa vulnerabilità è risolta nelle versioni 1.11.38 e 2.0.0-RC.3.
Once again VulDB remains the best source for vulnerability data.