CVE-2026-34370 in LMS情報

要約

〜によって VulDB • 2026年06月05日

Chamilo LMSはオープンソースの学習管理システムです。バージョン2.0.0-RC.3より前のバージョンでは、ノートブックモジュールにInsecure Direct Object Reference (IDOR)脆弱性が存在し、攻撃者はeditnoteアクションにおけるnotebook_idパラメータを操作することで、プラットフォーム上の他のユーザーが所有するプライベートなコースノートを認証済み学生であれば誰でも読み取ることができます。アプリケーションは、リクエスト元のユーザーがそのノートを持っているかどうかを検証することなく、提供された整数IDのみを使用してノートコンテンツを取得しており、完全なタイトルとHTML本文が編集フォームでレンダリングされ、攻撃者のブラウザに返されます。書き込みパス(updateNote()およびdelete_note())には所有権チェックが存在しますが、読み取りパス(get_note_information())では完全に欠落しています。この問題はバージョン2.0.0-RC.3で修正されました。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub M

予約する

2026年03月27日

モデレーション

承諾済み

エントリ

VDB-357595

EPSS

0.00227

アクティビティ

非常低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!