CVE-2026-34602 in LMS情報

要約

〜によって VulDB • 2026年06月02日

Chamilo LMSはオープンソースの学習管理システムです。バージョン2.0.0-RC.3より前のバージョンでは、/api/course_rel_usersエンドポイントにInsecure Direct Object Reference (IDOR) の脆弱性が存在し、認証済み攻撃者がリクエストボディ内のuserパラメータを改ざんすることで、適切な認可チェックなしに任意のユーザーを任意のコースに登録することができます。バックエンドはuserフィールドに対してユーザーが提供した入力を信頼しており、リクエスト元のユーザーが参照されているユーザーIDを所有しているか、他のユーザーに代わって操作を行う権限を持っているかについて、サーバーサイドでの検証を行っていません。これにより、ユーザーとコースの関連付けが不正に操作され、コース教材への意図しないアクセスの付与、登録制御の回避、プラットフォームの整合性の侵害などが引き起こされる可能性があります。この問題はバージョン2.0.0-RC.3で修正されています。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

GitHub M

予約する

2026年03月30日

モデレーション

承諾済み

エントリ

VDB-357597

EPSS

0.00203

アクティビティ

非常低い

ソース

Want to know what is going to be exploited?

We predict KEV entries!