Plateforme
php
Composant
pens
Corrigé dans
2.0.0-RC.3
Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été découverte dans le plugin PENS (Package Exchange Notification Services) de Chamilo LMS. Cette faille permet à un attaquant non authentifié d'exploiter le paramètre package-url pour effectuer des requêtes vers des ressources internes ou externes, contournant les contrôles d'authentification. Les versions concernées sont celles antérieures à 2.0.0-RC.3. Une mise à jour vers la version 2.0.0-RC.3 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de sonder des services internes qui seraient normalement inaccessibles depuis l'extérieur. Cela inclut la possibilité d'accéder à des métadonnées d'instances cloud (comme 169.254.169.254) et de voler des informations d'identification IAM, compromettant ainsi la sécurité de l'environnement Chamilo LMS. L'attaquant peut également utiliser cette vulnérabilité pour effectuer des attaques par déni de service (DoS) en surchargeant le serveur avec des requêtes. Le risque est amplifié si Chamilo LMS est utilisé dans un environnement cloud partagé, car l'attaquant pourrait potentiellement accéder aux métadonnées d'autres instances.
Cette vulnérabilité a été rendue publique le 14 avril 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la nature de la vulnérabilité SSRF la rend potentiellement exploitable. L'absence de validation des URLs dans le plugin PENS rappelle des schémas d'exploitation similaires observés dans d'autres applications web. Le CVE a été ajouté au catalogue KEV de CISA, indiquant une probabilité d'exploitation potentiellement élevée.
Organizations utilizing Chamilo LMS, particularly those deploying it in cloud environments (AWS, Azure, GCP), are at significant risk. Shared hosting environments where multiple Chamilo instances reside on the same server are also vulnerable, as a compromise of one instance could potentially lead to the compromise of others. Legacy Chamilo installations that have not been regularly updated are especially susceptible.
• web: Use curl or wget to check if the pens.php endpoint is accessible without authentication and if the package-url parameter accepts arbitrary URLs.
curl -I http://your-chamilo-instance/public/plugin/Pens/pens.php?package-url=http://169.254.169.254/latest/meta-data/iam/security-credentials/admin• generic web: Examine access and error logs for requests to pens.php with unusual or internal IP addresses in the package-url parameter.
• php: Review the pens.php file for the absence of input validation on the package-url parameter.
disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Chamilo LMS vers la version 2.0.0-RC.3 ou supérieure, qui corrige la vulnérabilité SSRF. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à configurer un pare-feu applicatif web (WAF) pour bloquer les requêtes contenant des URLs suspectes ou des adresses IP internes. Il est également recommandé de restreindre l'accès au plugin PENS via des règles de pare-feu réseau. Vérifiez après la mise à jour que le paramètre package-url est correctement validé et filtré pour empêcher les requêtes vers des adresses IP internes ou des domaines non autorisés.
Mettez à jour le plugin PENS à la version 2.0.0-RC.3 ou supérieure pour atténuer la vulnérabilité SSRF. Cette mise à jour implémente des filtres pour empêcher le serveur de récupérer des données à partir d'adresses IP privées ou internes, empêchant ainsi l'accès non autorisé aux ressources internes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-34160 is a Server-Side Request Forgery (SSRF) vulnerability in the PENS plugin of Chamilo LMS versions 1.0.0 through 2.0-RC.2, allowing unauthenticated attackers to probe internal services.
You are affected if you are running Chamilo LMS with the PENS plugin in versions 1.0.0 through 2.0-RC.2. Upgrade to 2.0.0-RC.3 or later to mitigate the risk.
The recommended fix is to upgrade Chamilo LMS to version 2.0.0-RC.3 or later. As a temporary workaround, restrict access to the pens.php endpoint and validate the package-url parameter.
There are currently no publicly known active exploits for CVE-2026-34160, but its SSRF nature makes it a likely target for exploitation.
Refer to the official Chamilo security advisory for CVE-2026-34160 on the Chamilo website (check their security announcements page).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.