Plateforme
php
Composant
chamilo-lms
Corrigé dans
1.11.39
La vulnérabilité CVE-2026-33706 concerne une élévation de privilèges dans Chamilo LMS, un système de gestion de l'apprentissage. Elle permet à un utilisateur authentifié, disposant d'une clé API REST, de modifier son propre statut. Les versions affectées sont celles comprises entre 1.11.0 et 1.11.38 (excluant 1.11.38). Une correction a été déployée dans la version 1.11.38.
Cette vulnérabilité permet à un attaquant d'escalader ses privilèges au sein de Chamilo LMS. Plus précisément, un utilisateur ayant le statut d'étudiant (statut 5) peut modifier son statut pour devenir enseignant ou gestionnaire de cours (statut 1). Cela confère à l'attaquant la capacité de créer et de gérer des cours, potentiellement compromettant l'intégrité des données pédagogiques et l'accès aux ressources de l'environnement d'apprentissage. L'impact est significatif car il permet de contourner les contrôles d'accès standard et d'obtenir un contrôle substantiel sur le système.
Cette vulnérabilité a été publiée le 2026-04-10. Il n'y a pas d'indication d'une exploitation active ou d'une présence dans le KEV (CISA Known Exploited Vulnerabilities) à ce jour. Aucun proof-of-concept public n'est connu. La probabilité d'exploitation est considérée comme faible en l'absence de PoC et d'exploitation confirmée.
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Chamilo LMS vers la version 1.11.38 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre l'accès à l'API REST et de surveiller attentivement les modifications de statut des utilisateurs. En attendant la mise à jour, examinez les journaux d'accès pour détecter des tentatives de modification de statut suspectes. Après la mise à jour, vérifiez que les utilisateurs ne peuvent plus modifier leur statut de manière non autorisée en testant avec un compte utilisateur standard.
Actualice Chamilo LMS a la versión 1.11.38 o posterior para mitigar la vulnerabilidad de escalada de privilegios. La actualización corrige la forma en que se actualiza el estado del usuario a través de la API REST, evitando que los estudiantes se auto-promocionen a roles de profesor o administrador de curso.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33706 is a security vulnerability in Chamilo LMS versions 1.11.0 to 1.11.37 that allows authenticated users to escalate their privileges to Teacher/Course Manager, potentially gaining control over courses and users.
You are affected if you are running Chamilo LMS version 1.11.0 through 1.11.37. Upgrade to version 1.11.38 to resolve the vulnerability.
The recommended fix is to upgrade Chamilo LMS to version 1.11.38. As a temporary workaround, restrict access to the updateuserfrom_username endpoint using a WAF or proxy.
Currently, there are no publicly known active campaigns exploiting CVE-2026-33706, but it's crucial to apply the fix proactively.
Refer to the official Chamilo LMS security advisory for detailed information and updates regarding CVE-2026-33706.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.