Plattform
php
Komponente
chamilo-lms
Behoben in
1.11.39
CVE-2026-33708 affects Chamilo LMS versions 1.11.0 through 1.11.37. The vulnerability resides in the getuserinfofromusername REST API endpoint, which lacks proper authorization checks. This allows authenticated users to retrieve sensitive personal information, such as email addresses, first and last names, user IDs, and active status, of other users within the system. A patch is available in version 1.11.38.
CVE-2026-33708 in Chamilo LMS ermöglicht authentifizierten Benutzern, einschließlich Studenten, den Zugriff auf sensible persönliche Daten anderer Benutzer. Der REST-API-Endpunkt getuserinfofromusername verfügt nicht über eine ordnungsgemäße Autorisierungsprüfung, wodurch Daten wie E-Mail-Adresse, Vorname, Nachname, Benutzer-ID und Aktivstatus offengelegt werden. Diese Informationslüge kann für Social-Engineering-Angriffe, gezieltes Phishing oder sogar zur Erstellung von Benutzerprofilen innerhalb der Bildungsumgebung ausgenutzt werden. Das Fehlen von Kontrolle über den Zugriff auf diese Informationen gefährdet die Privatsphäre der Benutzer und die Integrität der Plattform. Die CVSS-Schweregrad ist 6,5, was ein moderates, aber signifikantes Risiko anzeigt.
Ein authentifizierter Angreifer, z. B. ein Student mit einem gültigen Konto in Chamilo LMS, kann diese Schwachstelle ausnutzen, indem er Anfragen an die API getuserinfofromusername mit dem Benutzernamen eines beliebigen anderen Benutzers sendet. Die API antwortet mit den vollständigen persönlichen Daten des Zielbenutzers, ohne dass zusätzliche Anmeldeinformationen oder erhöhte Berechtigungen erforderlich sind. Die einfache Ausnutzbarkeit und die potenziellen Auswirkungen auf die Privatsphäre machen diese Schwachstelle zu einem erheblichen Problem für Bildungseinrichtungen, die Chamilo LMS verwenden.
Exploit-Status
EPSS
0.03% (10% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für diese Schwachstelle besteht darin, Chamilo LMS auf Version 1.11.38 oder höher zu aktualisieren. Diese Version enthält eine Korrektur, die die erforderliche Autorisierung in der API getuserinfofromusername implementiert und den Zugriff auf Benutzerinformationen nur auf diejenigen beschränkt, die die entsprechenden Berechtigungen haben. Es wird empfohlen, dieses Update umgehend anzuwenden, um das Risiko einer Datenoffenlegung zu mindern. Überprüfen Sie außerdem die Sicherheitsrichtlinien Ihrer Plattform und stellen Sie sicher, dass Benutzer die Bedeutung des Schutzes ihrer Anmeldeinformationen und der Vorsicht bei Informationsanfragen verstehen.
Actualice Chamilo LMS a la versión 1.11.38 o posterior para mitigar la exposición de información personal sensible. Esta versión incluye una verificación de autorización que impide que usuarios no autorizados accedan a la información del usuario a través de la API REST get_user_info_from_username.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Chamilo LMS ist ein Open-Source-Learning-Management-System (LMS), das von Bildungseinrichtungen zur Bereitstellung von Online-Kursen und zur Verwaltung des Lernens von Studenten verwendet wird.
Wenn Sie eine Version von Chamilo LMS vor 1.11.38 verwenden, sind Sie wahrscheinlich betroffen. Überprüfen Sie die installierte Version auf Ihrem System.
Wenn Sie nicht sofort aktualisieren können, sollten Sie zusätzliche Sicherheitsmaßnahmen ergreifen, z. B. den Zugriff auf die API einschränken oder den Netzwerkverkehr auf verdächtige Aktivitäten überwachen.
Derzeit gibt es keine speziellen Tools, um diese Schwachstelle zu erkennen. Die Überprüfung erfolgt durch direkte API-Tests.
Sie finden weitere Informationen zu dieser Schwachstelle in Schwachstellendatenbanken wie der NIST NVD (National Vulnerability Database).
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.