CVE-2026-34370 in LMS
Сводка
по VulDB • 05.06.2026
Chamilo LMS — это система управления обучением с открытым исходным кодом. В версиях до 2.0.0-RC.3 модуль «notebook» содержит уязвимость Insecure Direct Object Reference (IDOR), которая позволяет любому аутентифицированному студенту читать приватные заметки курса любого другого пользователя на платформе путем манипуляции параметром notebook_id в действии editnote. Приложение извлекает содержимое заметки, используя только предоставленный целочисленный идентификатор (ID), без проверки того, что запрашивающий пользователь является владельцем этой заметки; при этом полный заголовок и HTML-тело отображаются в форме редактирования и возвращаются браузеру атакующего. Хотя проверки прав собственности существуют на путях записи данных (updateNote() и delete_note()), они полностью отсутствуют на пути чтения (get_note_information()). Данная проблема исправлена в версии 2.0.0-RC.3.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.