CVE-2026-34602 in LMS
要約
〜によって VulDB • 2026年06月02日
Chamilo LMSはオープンソースの学習管理システムです。バージョン2.0.0-RC.3より前のバージョンでは、/api/course_rel_usersエンドポイントにInsecure Direct Object Reference (IDOR) の脆弱性が存在し、認証済み攻撃者がリクエストボディ内のuserパラメータを改ざんすることで、適切な認可チェックなしに任意のユーザーを任意のコースに登録することができます。バックエンドはuserフィールドに対してユーザーが提供した入力を信頼しており、リクエスト元のユーザーが参照されているユーザーIDを所有しているか、他のユーザーに代わって操作を行う権限を持っているかについて、サーバーサイドでの検証を行っていません。これにより、ユーザーとコースの関連付けが不正に操作され、コース教材への意図しないアクセスの付与、登録制御の回避、プラットフォームの整合性の侵害などが引き起こされる可能性があります。この問題はバージョン2.0.0-RC.3で修正されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.