CVE-2026-34602 in LMS정보

요약

\~에 의해 VulDB • 2026. 06. 02.

Chamilo LMS는 오픈소스 학습 관리 시스템입니다. 2.0.0-RC.3 이전 버전에서 /api/course_rel_users 엔드포인트는 부직접 객체 참조(Insecure Direct Object Reference, IDOR) 취약점에 노출되어 있습니다. 이를 통해 인증된 공격자는 요청 본문에서 user 매개변수를 조작하여 적절한 권한 확인 없이 임의의 사용자를 임의의 과정에 등록할 수 있습니다. 백엔드는 user 필드에 대해 사용자가 제공한 입력을 신뢰하며, 요청자가 참조된 사용자 ID를 소유하고 있거나 다른 사용자를 대신하여 작업할 권한이 있는지 여부를 확인하는 서버 측 검증을 수행하지 않습니다. 이로 인해 사용자-과정 관계가 무단으로 조작될 수 있으며, 이는 과정 자료에 대한 의도치 않은 접근 허용, 등록 제어 우회 및 플랫폼 무결성 훼손으로 이어질 수 있습니다. 이 문제는 버전 2.0.0-RC.3에서 수정되었습니다.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!