Plateforme
php
Composant
chamilo-lms
Corrigé dans
1.11.39
Chamilo LMS est un système de gestion de l'apprentissage. Une vulnérabilité a été découverte dans l'API REST getuserinfofromusername, qui renvoie des informations personnelles (email, prénom, nom, ID utilisateur, statut actif) de n'importe quel utilisateur à tout utilisateur authentifié, y compris les étudiants, sans vérification d'autorisation. Cette vulnérabilité affecte les versions 1.11.0 jusqu'à, mais sans inclure, la version 1.11.38. Une correction est disponible dans la version 1.11.38.
La vulnérabilité CVE-2026-33708 dans Chamilo LMS permet à des utilisateurs authentifiés, y compris les étudiants, d'accéder à des informations personnelles sensibles d'autres utilisateurs. L'endpoint d'API REST getuserinfofromusername ne dispose pas de vérifications d'autorisation appropriées, exposant des données telles que l'adresse e-mail, le prénom, le nom, l'ID utilisateur et le statut actif. Cette fuite d'informations peut être exploitée pour des attaques d'ingénierie sociale, du phishing ciblé ou même pour créer des profils d'utilisateurs au sein de la plateforme éducative. L'absence de contrôle sur l'accès à ces informations compromet la confidentialité des utilisateurs et l'intégrité de la plateforme. La sévérité CVSS est de 6,5, ce qui indique un risque modéré mais significatif.
Un attaquant authentifié, tel qu'un étudiant disposant d'un compte valide dans Chamilo LMS, peut exploiter cette vulnérabilité en envoyant des requêtes à l'API getuserinfofromusername avec le nom d'utilisateur de tout autre utilisateur. L'API répondra avec les informations personnelles complètes de l'utilisateur cible, sans nécessiter de crédentielles supplémentaires ou de privilèges élevés. La facilité d'exploitation et l'impact potentiel sur la confidentialité font de cette vulnérabilité une préoccupation majeure pour les établissements d'enseignement utilisant Chamilo LMS.
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
La solution à cette vulnérabilité est de mettre à jour Chamilo LMS vers la version 1.11.38 ou supérieure. Cette version inclut une correction qui implémente l'autorisation nécessaire dans l'API getuserinfofromusername, restreignant l'accès aux informations de l'utilisateur uniquement à ceux qui ont les permissions appropriées. Il est recommandé d'appliquer cette mise à jour immédiatement pour atténuer le risque d'exposition des données. De plus, examinez les politiques de sécurité de votre plateforme et assurez-vous que les utilisateurs comprennent l'importance de protéger leurs identifiants et d'être prudents avec les demandes d'informations.
Actualice Chamilo LMS a la versión 1.11.38 o posterior para mitigar la exposición de información personal sensible. Esta versión incluye una verificación de autorización que impide que usuarios no autorizados accedan a la información del usuario a través de la API REST get_user_info_from_username.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Chamilo LMS est un système de gestion de l'apprentissage (LMS) open source utilisé par les établissements d'enseignement pour proposer des cours en ligne et gérer l'apprentissage des étudiants.
Si vous utilisez une version de Chamilo LMS antérieure à la 1.11.38, vous êtes probablement affecté. Vérifiez la version installée sur votre système.
Si vous ne pouvez pas mettre à jour immédiatement, envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles que la restriction de l'accès à l'API ou la surveillance du trafic réseau à la recherche d'activités suspectes.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité. La vérification est effectuée par le biais de tests directs de l'API.
Vous pouvez trouver plus d'informations sur cette vulnérabilité dans les bases de données de vulnérabilités telles que le NIST NVD (National Vulnerability Database).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.