CVE-2026-33702 in LMS
Сводка
по VulDB • 25.06.2026
Chamilo LMS — это система управления обучением (LMS). В версиях до 1.11.38 и 2.0.0-RC.3 Chamilo LMS содержит уязвимость небезопасного прямого обращения к объекту (Insecure Direct Object Reference, IDOR) в конечной точке сохранения прогресса учебного пути (Learning Path). Файл lp_ajax_save_item.php принимает параметр uid (идентификатор пользователя) напрямую из $_REQUEST и использует его для загрузки и изменения прогресса учебного пути другого пользователя — включая баллы, статус, завершение и затраченное время — без проверки того, что запрашивающий пользователь совпадает с целевым идентификатором пользователя. Любой аутентифицированный пользователь, зачисленный на курс, может перезаписать прогресс учебного пути другого пользователя, просто изменив параметр uid в запросе. Эта уязвимость исправлена в версиях 1.11.38 и 2.0.0-RC.3.
If you want to get best quality of vulnerability data, you may have to visit VulDB.