CVE-2026-34602 in LMSИнформация

Сводка

по VulDB • 02.06.2026

Chamilo LMS — это система управления обучением с открытым исходным кодом. В версиях до 2.0.0-RC.3 конечная точка /api/course_rel_users уязвима к Insecure Direct Object Reference (IDOR), что позволяет атакующему с аутентификацией изменять параметр user в теле запроса для записи любого произвольного пользователя в любой курс без надлежащих проверок авторизации. Бэкенд доверяет вводу, предоставленному пользователем, для поля user и не выполняет серверную проверку того, владеет ли запрашивающий указанным идентификатором пользователя или имеет разрешение действовать от имени других пользователей. Это позволяет осуществлять несанкционированное манипулирование связями между пользователями и курсами, что потенциально может предоставить нежелательный доступ к материалам курсов, обойти контроль записи на курсы и нарушить целостность платформы. Эта проблема исправлена в версии 2.0.0-RC.3.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

GitHub M

Резервировать

30.03.2026

Раскрытие

15.04.2026

Модерация

принято

Вход

VDB-357597

EPSS

0.00203

KEV

Нет

Деятельности

Очень низкий

Источники

Do you need the next level of professionalism?

Upgrade your account now!