anonhaven

CVE-2026-32894

HIGH CVSS 3.1: 7,1 EPSS 0.03%
Обновлено 17 апреля 2026
Chamilo
Параметр Значение
CVSS 7,1 (HIGH)
Уязвимые версии до 1.11.38
Устранено в версии 1.11.38
Тип уязвимости CWE-476 (Разыменование нулевого указателя), CWE-639 (Обход авторизации)
Поставщик Chamilo
Публичный эксплойт Нет

Chamilo LMS — это система управления обучением. До версий 1.11.38 и 2.0.0-RC.3 уязвимость небезопасной прямой ссылки на объект (IDOR) на странице просмотра результатов журнала оценок позволяла любому аутентифицированному учителю удалить результат оценки любого учащегося на всей платформе, манипулируя GET-параметрами delete_mark или resultdelete. Никакая проверка прав собственности или объема курса не производится.

Эта уязвимость исправлена ​​в версиях 1.11.38 и 2.0.0-RC.3.

Показать оригинальное описание (EN)

Chamilo LMS is a learning management system. Prior to 1.11.38 and 2.0.0-RC.3, an Insecure Direct Object Reference (IDOR) vulnerability in the gradebook result view page allows any authenticated teacher to delete any student's grade result across the entire platform by manipulating the delete_mark or resultdelete GET parameters. No ownership or course-scope verification is performed. This vulnerability is fixed in 1.11.38 and 2.0.0-RC.3.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Низкое
Частичное нарушение работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-476 NULL Pointer Dereference (Разыменование нулевого указателя)
CWE-639 Authorization Bypass (Обход авторизации)

Уязвимые продукты 11

Конфигурация От (включительно) До (исключительно)
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:*:*:*:*:*:*:*:*
 1.11.38
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:alpha1:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:alpha2:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:alpha3:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:alpha4:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:alpha5:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:beta1:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:beta2:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:beta3:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:rc1:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:rc2:*:*:*:*:*:*

Ссылки 3

https://github.com/chamilo/chamilo-lms/commit/3b03306d1a0301a81b9284e86893b27f5…
security-advisories@github.com
https://github.com/chamilo/chamilo-lms/commit/740f5a6e192a52a3adde3c3241c86401b…
security-advisories@github.com
https://github.com/chamilo/chamilo-lms/security/advisories/GHSA-rqpg-p95v-fv98
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-33737

Chamilo

6,5

CVE-2026-33736

Chamilo

6,5

CVE-2026-33710

Chamilo

7,5

CVE-2026-33708

Chamilo

6,5

CVE-2026-33707

Chamilo

9,8