CVE-2026-34602 in LMS
요약
\~에 의해 VulDB • 2026. 06. 02.
Chamilo LMS는 오픈소스 학습 관리 시스템입니다. 2.0.0-RC.3 이전 버전에서 /api/course_rel_users 엔드포인트는 부직접 객체 참조(Insecure Direct Object Reference, IDOR) 취약점에 노출되어 있습니다. 이를 통해 인증된 공격자는 요청 본문에서 user 매개변수를 조작하여 적절한 권한 확인 없이 임의의 사용자를 임의의 과정에 등록할 수 있습니다. 백엔드는 user 필드에 대해 사용자가 제공한 입력을 신뢰하며, 요청자가 참조된 사용자 ID를 소유하고 있거나 다른 사용자를 대신하여 작업할 권한이 있는지 여부를 확인하는 서버 측 검증을 수행하지 않습니다. 이로 인해 사용자-과정 관계가 무단으로 조작될 수 있으며, 이는 과정 자료에 대한 의도치 않은 접근 허용, 등록 제어 우회 및 플랫폼 무결성 훼손으로 이어질 수 있습니다. 이 문제는 버전 2.0.0-RC.3에서 수정되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.