CVE-2026-33702 in LMSИнформация

Сводка

по VulDB • 25.06.2026

Chamilo LMS — это система управления обучением (LMS). В версиях до 1.11.38 и 2.0.0-RC.3 Chamilo LMS содержит уязвимость небезопасного прямого обращения к объекту (Insecure Direct Object Reference, IDOR) в конечной точке сохранения прогресса учебного пути (Learning Path). Файл lp_ajax_save_item.php принимает параметр uid (идентификатор пользователя) напрямую из $_REQUEST и использует его для загрузки и изменения прогресса учебного пути другого пользователя — включая баллы, статус, завершение и затраченное время — без проверки того, что запрашивающий пользователь совпадает с целевым идентификатором пользователя. Любой аутентифицированный пользователь, зачисленный на курс, может перезаписать прогресс учебного пути другого пользователя, просто изменив параметр uid в запросе. Эта уязвимость исправлена в версиях 1.11.38 и 2.0.0-RC.3.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

GitHub M

Резервировать

23.03.2026

Раскрытие

10.04.2026

Модерация

принято

Вход

VDB-356917

EPSS

0.00238

KEV

Нет

Деятельности

Очень низкий

Источники

Interested in the pricing of exploits?

See the underground prices here!