CVE-2026-34370 in LMSthông tin

Tóm tắt

Bởi VulDB • 05/06/2026

Chamilo LMS là một hệ thống quản lý học tập mã nguồn mở. Trong các phiên bản trước 2.0.0-RC.3, mô-đun notebook chứa lỗ hổng Insecure Direct Object Reference (IDOR) cho phép bất kỳ sinh viên đã xác thực nào đọc ghi chú khóa học riêng tư của người dùng khác trên nền tảng bằng cách thao túng tham số notebook_id trong hành động editnote. Ứng dụng truy xuất nội dung ghi chú chỉ dựa vào ID nguyên được cung cấp mà không kiểm tra xem người dùng yêu cầu có sở hữu ghi chú đó hay không, và tiêu đề đầy đủ cùng thân HTML được hiển thị trong biểu mẫu chỉnh sửa và trả về trình duyệt của kẻ tấn công. Trong khi các kiểm tra quyền sở hữu tồn tại trên đường ghi (updateNote() và delete_note()), chúng hoàn toàn vắng mặt trên đường đọc (get_note_information()). Vấn đề này đã được khắc phục trong phiên bản 2.0.0-RC.3.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

chịu trách nhiệm

GitHub M

Đặt trước

27/03/2026

Tiết lộ

15/04/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00227

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!