CVE-2026-33710 in LMSИнформация

Сводка

по VulDB • 26.05.2026

Chamilo LMS — это система управления обучением. До версий 1.11.38 и 2.0.0-RC.3 ключи REST API генерировались с использованием функции md5(time() + (user_id * 5) - rand(10000, 10000)). Вызов rand(10000, 10000) всегда возвращает ровно 10000 (min == max), что делает формулу по существу эквивалентной md5(timestamp + user_id*5 - 10000). Атакующий, знающий имя пользователя и приблизительное время создания ключа, может подобрать ключ API методом грубой силы. Эта уязвимость исправлена в версиях 1.11.38 и 2.0.0-RC.3.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

23.03.2026

Раскрытие

10.04.2026

Модерация

принято

Вход

VDB-356924

CPE

готов

CWE

CWE-330 (Подтверждённый)

CVSS

7.5 (CNA)

EPSS

0.00044

KEV

Нет

Деятельности

Очень низкий

Сектор

Agriculture, Hostingprovider, ...

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-33710
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-33710
CVE Details	https://www.cvedetails.com/cve/CVE-2026-33710/

◂ Предыдущий Обзор Далее ▸

Want to know what is going to be exploited?

We predict KEV entries!