anonhaven

CVE-2026-33703

HIGH CVSS 4.0: 7,1 EPSS 0.03%
Обновлено 16 апреля 2026
Chamilo
Параметр Значение
CVSS 7,1 (HIGH)
Устранено в версии 2.0.0
Тип уязвимости CWE-639 (Обход авторизации)
Поставщик Chamilo
Публичный эксплойт Нет

Chamilo LMS — это система управления обучением. До версии 2.0.0-RC.3 уязвимость небезопасной прямой ссылки на объект (IDOR) в конечной точке /social-network/personal-data/{userId} позволяла любому аутентифицированному пользователю получить доступ к полным личным данным и токенам API произвольных пользователей путем изменения параметра userId. Это приводит к массовому раскрытию конфиденциальной пользовательской информации и учетных данных, что обеспечивает полную утечку данных платформы.

Эта уязвимость исправлена ​​в версии 2.0.0-RC.3.

Показать оригинальное описание (EN)

Chamilo LMS is a learning management system. Prior to 2.0.0-RC.3, an Insecure Direct Object Reference (IDOR) vulnerability in the /social-network/personal-data/{userId} endpoint allows any authenticated user to access full personal data and API tokens of arbitrary users by modifying the userId parameter. This results in mass disclosure of sensitive user information and credentials, enabling a full platform data breach. This vulnerability is fixed in 2.0.0-RC.3.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-639 Authorization Bypass (Обход авторизации)

Уязвимые продукты 10

Конфигурация От (включительно) До (исключительно)
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:alpha1:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:alpha2:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:alpha3:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:alpha4:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:alpha5:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:beta1:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:beta2:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:beta3:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:rc1:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:rc2:*:*:*:*:*:*

Ссылки 1

https://github.com/chamilo/chamilo-lms/security/advisories/GHSA-27x6-c5c7-gpf5
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-33737

Chamilo

6,5

CVE-2026-33736

Chamilo

6,5

CVE-2026-33710

Chamilo

7,5

CVE-2026-33708

Chamilo

6,5

CVE-2026-33707

Chamilo

9,8