प्लेटफ़ॉर्म
php
घटक
chamilo-lms
में ठीक किया गया
1.11.39
CVE-2026-33706 Chamilo LMS में एक विशेषाधिकार वृद्धि भेद्यता है। यह भेद्यता किसी भी प्रमाणित उपयोगकर्ता को REST API कुंजी का उपयोग करके अपना स्टेटस बदलने की अनुमति देती है, जिससे वे शिक्षक या कोर्स मैनेजर के रूप में अधिक विशेषाधिकार प्राप्त कर सकते हैं। यह भेद्यता Chamilo LMS के संस्करण 1.11.0 से 1.11.38 तक के संस्करणों को प्रभावित करती है और इसे संस्करण 1.11.38 में ठीक किया गया है।
इस भेद्यता का शोषण करने वाला एक हमलावर एक छात्र खाते (स्थिति=5) को शिक्षक/कोर्स मैनेजर खाते (स्थिति=1) में बदल सकता है। इससे हमलावर को कोर्स बनाने और प्रबंधित करने की क्षमता मिल जाएगी, जिससे LMS डेटा और उपयोगकर्ताओं तक अनधिकृत पहुंच हो सकती है। हमलावर कोर्स सामग्री को संशोधित कर सकता है, छात्रों को जोड़ या हटा सकता है, और अन्य प्रशासनिक कार्य कर सकता है। इस भेद्यता का उपयोग LMS के भीतर आंतरिक नियंत्रणों को दरकिनार करने और संवेदनशील जानकारी तक पहुंचने के लिए किया जा सकता है।
CVE-2026-33706 को अभी तक KEV में शामिल नहीं किया गया है। EPSS स्कोर उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है। यह भेद्यता 2026-04-10 को प्रकाशित हुई थी।
एक्सप्लॉइट स्थिति
EPSS
0.03% (8% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-33706 को कम करने के लिए, Chamilo LMS को संस्करण 1.11.38 में तुरंत अपडेट करें। यदि अपग्रेड संभव नहीं है, तो REST API कुंजी के उपयोग को सीमित करने के लिए अस्थायी उपाय लागू करें। यह सुनिश्चित करें कि केवल अधिकृत उपयोगकर्ताओं के पास ही API कुंजी तक पहुंच हो। एक्सेस नियंत्रणों को मजबूत करने और अनावश्यक API एंडपॉइंट्स को अक्षम करने पर विचार करें। नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग भी महत्वपूर्ण हैं। अपग्रेड के बाद, यह सत्यापित करें कि विशेषाधिकार वृद्धि अब संभव नहीं है, एक सामान्य उपयोगकर्ता खाते के साथ लॉग इन करके और कोर्स प्रबंधन कार्यों तक पहुंचने का प्रयास करके।
Actualice Chamilo LMS a la versión 1.11.38 o posterior para mitigar la vulnerabilidad de escalada de privilegios. La actualización corrige la forma en que se actualiza el estado del usuario a través de la API REST, evitando que los estudiantes se auto-promocionen a roles de profesor o administrador de curso.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33706 Chamilo LMS में एक भेद्यता है जो प्रमाणित उपयोगकर्ताओं को विशेषाधिकार बढ़ाने की अनुमति देती है, जिससे वे शिक्षक/कोर्स मैनेजर बन सकते हैं।
यदि आप Chamilo LMS के संस्करण 1.11.0 से 1.11.38 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Chamilo LMS को संस्करण 1.11.38 में तुरंत अपडेट करें।
CVE-2026-33706 का सक्रिय शोषण अभी तक ज्ञात नहीं है, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है।
कृपया Chamilo LMS सुरक्षा सलाहकार के लिए आधिकारिक वेबसाइट देखें: [Chamilo LMS Security Advisories URL - Replace with actual URL]
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।