CVE-2026-34370 in LMSinformação

Sumário

de VulDB • 03/06/2026

O Chamilo LMS é um sistema de gestão de aprendizagem open-source. Nas versões anteriores à 2.0.0-RC.3, o módulo notebook contém uma vulnerabilidade de Referência Direta a Objeto Insegura (IDOR) que permite a qualquer estudante autenticado ler as notas privadas do curso de qualquer outro usuário na plataforma ao manipular o parâmetro notebook_id na ação editnote. A aplicação obtém o conteúdo da nota utilizando apenas o ID inteiro fornecido, sem verificar se o utilizador solicitante é proprietário da nota, e o título completo e o corpo HTML são apresentados no formulário de edição e devolvidos ao navegador do atacante. Embora existam verificações de propriedade nos caminhos de escrita (updateNote() e delete_note()), estas estão completamente ausentes no caminho de leitura (get_note_information()). Este problema foi corrigido na versão 2.0.0-RC.3.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

GitHub M

Reservar

27/03/2026

Divulgação

15/04/2026

Moderação

aceite

Entrada

VDB-357595

CPE

pronto

EPSS

0.00227

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!