CVE-2026-34370 in LMSИнформация

Сводка

по VulDB • 05.06.2026

Chamilo LMS — это система управления обучением с открытым исходным кодом. В версиях до 2.0.0-RC.3 модуль «notebook» содержит уязвимость Insecure Direct Object Reference (IDOR), которая позволяет любому аутентифицированному студенту читать приватные заметки курса любого другого пользователя на платформе путем манипуляции параметром notebook_id в действии editnote. Приложение извлекает содержимое заметки, используя только предоставленный целочисленный идентификатор (ID), без проверки того, что запрашивающий пользователь является владельцем этой заметки; при этом полный заголовок и HTML-тело отображаются в форме редактирования и возвращаются браузеру атакующего. Хотя проверки прав собственности существуют на путях записи данных (updateNote() и delete_note()), они полностью отсутствуют на пути чтения (get_note_information()). Данная проблема исправлена в версии 2.0.0-RC.3.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

GitHub M

Резервировать

27.03.2026

Раскрытие

15.04.2026

Модерация

принято

Вход

VDB-357595

EPSS

0.00227

KEV

Нет

Деятельности

Очень низкий

Источники

Want to know what is going to be exploited?

We predict KEV entries!