CVE-2026-34602 in LMSinformazioni

Riassunto

di VulDB • 17/06/2026

Chamilo LMS è un sistema di gestione dell'apprendimento open-source. Nelle versioni precedenti alla 2.0.0-RC.3, l'endpoint /api/course_rel_users è vulnerabile a Insecure Direct Object Reference (IDOR), consentendo a un attaccante autenticato di modificare il parametro user nel corpo della richiesta per iscrivere qualsiasi utente arbitrario a qualsiasi corso senza opportuni controlli di autorizzazione. Il backend si fida dell'immissione fornita dall'utente per il campo user ed esegue alcuna verifica lato server che richiedente sia proprietario del ID utente referenziato o abbia l'autorità di agire behalf di altri utenti. Ciò consente la manipolazione non autorizzata delle relazioni tra utente e corso, potenzialmente concedendo accesso indesiderato ai materiali del corso, aggirando i controlli di iscrizione e compromettendo l'integrità della piattaforma. Questo problema è stato risolto nella versione 2.0.0-RC.3.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

30/03/2026

Divulgazione

15/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00203

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!