Plataforma
php
Componente
chamilo-lms
Corregido en
1.11.39
La vulnerabilidad CVE-2026-33706 es una elevación de privilegios detectada en Chamilo LMS, un sistema de gestión del aprendizaje. Esta falla permite a un usuario autenticado con una clave API REST modificar su propio estado, lo que posibilita que un usuario con el rol de estudiante (estado 5) se eleve al rol de profesor o administrador de curso (estado 1). La vulnerabilidad afecta a las versiones 1.11.0 hasta la 1.11.38 y ha sido resuelta en la versión 1.11.38.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a funcionalidades administrativas dentro de Chamilo LMS. Esto incluye la capacidad de crear y gestionar cursos, modificar contenido, y potencialmente acceder a datos sensibles de los usuarios. La elevación de privilegios podría permitir la manipulación de calificaciones, la creación de cuentas falsas, o incluso la toma del control total de la instancia de Chamilo LMS. El impacto es significativo, especialmente en entornos educativos donde la integridad de los datos y la seguridad del sistema son cruciales. La falta de control de acceso adecuado en el endpoint updateuserfrom_username es la raíz del problema.
La vulnerabilidad CVE-2026-33706 fue publicada el 10 de abril de 2026. No se ha reportado su inclusión en KEV o EPSS a la fecha. No existen públicamente pruebas de concepto (PoC) disponibles, lo que sugiere un bajo riesgo de explotación activa en este momento. Sin embargo, dada la facilidad de explotación una vez que se conoce la vulnerabilidad, se recomienda aplicar la mitigación lo antes posible.
Estado del Exploit
EPSS
0.03% (8% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-33706 es actualizar Chamilo LMS a la versión 1.11.38 o superior. Si la actualización inmediata no es posible, se recomienda restringir el acceso al endpoint updateuserfrom_username a usuarios con privilegios administrativos. Implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes sospechosas que intenten modificar el estado de usuario podría ser una medida temporal. Además, revisar y auditar las claves API REST existentes para identificar y revocar aquellas que puedan haber sido comprometidas es fundamental. Después de la actualización, verificar que los usuarios con rol de estudiante no puedan modificar su estado a profesor/administrador de curso.
Actualice Chamilo LMS a la versión 1.11.38 o posterior para mitigar la vulnerabilidad de escalada de privilegios. La actualización corrige la forma en que se actualiza el estado del usuario a través de la API REST, evitando que los estudiantes se auto-promocionen a roles de profesor o administrador de curso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33706 is a security vulnerability in Chamilo LMS versions 1.11.0 to 1.11.37 that allows authenticated users to escalate their privileges to Teacher/Course Manager, potentially gaining control over courses and users.
You are affected if you are running Chamilo LMS version 1.11.0 through 1.11.37. Upgrade to version 1.11.38 to resolve the vulnerability.
The recommended fix is to upgrade Chamilo LMS to version 1.11.38. As a temporary workaround, restrict access to the updateuserfrom_username endpoint using a WAF or proxy.
Currently, there are no publicly known active campaigns exploiting CVE-2026-33706, but it's crucial to apply the fix proactively.
Refer to the official Chamilo LMS security advisory for detailed information and updates regarding CVE-2026-33706.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.