CVE-2026-34370 in LMS
Sumário
de VulDB • 03/06/2026
O Chamilo LMS é um sistema de gestão de aprendizagem open-source. Nas versões anteriores à 2.0.0-RC.3, o módulo notebook contém uma vulnerabilidade de Referência Direta a Objeto Insegura (IDOR) que permite a qualquer estudante autenticado ler as notas privadas do curso de qualquer outro usuário na plataforma ao manipular o parâmetro notebook_id na ação editnote. A aplicação obtém o conteúdo da nota utilizando apenas o ID inteiro fornecido, sem verificar se o utilizador solicitante é proprietário da nota, e o título completo e o corpo HTML são apresentados no formulário de edição e devolvidos ao navegador do atacante. Embora existam verificações de propriedade nos caminhos de escrita (updateNote() e delete_note()), estas estão completamente ausentes no caminho de leitura (get_note_information()). Este problema foi corrigido na versão 2.0.0-RC.3.
If you want to get best quality of vulnerability data, you may have to visit VulDB.