प्लेटफ़ॉर्म
php
घटक
chamilo-lms
में ठीक किया गया
1.11.39
Chamilo LMS एक लर्निंग मैनेजमेंट सिस्टम है। संस्करण 1.11.38 से पहले, getuserinfofromusername REST API एंडपॉइंट किसी भी प्रमाणित उपयोगकर्ता, जिसमें छात्र भी शामिल हैं, को किसी भी उपयोगकर्ता की व्यक्तिगत जानकारी (ईमेल, पहला नाम, अंतिम नाम, उपयोगकर्ता आईडी, सक्रिय स्थिति) लौटाता है। कोई प्राधिकरण जांच नहीं है। यह भेद्यता संस्करण 1.11.38 में ठीक की गई है। प्रभावित संस्करण 1.11.0 से लेकर 1.11.38 तक हैं।
Chamilo LMS में CVE-2026-33708 छात्रों सहित प्रमाणित उपयोगकर्ताओं को अन्य उपयोगकर्ताओं की संवेदनशील व्यक्तिगत जानकारी तक पहुंचने की अनुमति देता है। REST API एंडपॉइंट getuserinfofromusername में उचित प्राधिकरण जांच का अभाव है, जिससे ईमेल पता, पहला नाम, अंतिम नाम, उपयोगकर्ता आईडी और सक्रिय स्थिति जैसे डेटा उजागर हो जाते हैं। इस सूचना रिसाव का उपयोग सामाजिक इंजीनियरिंग हमलों, लक्षित फ़िशिंग या यहां तक कि शैक्षिक प्लेटफ़ॉर्म के भीतर उपयोगकर्ता प्रोफ़ाइल बनाने के लिए किया जा सकता है। इस जानकारी तक पहुंच के नियंत्रण की कमी उपयोगकर्ता की गोपनीयता और प्लेटफ़ॉर्म अखंडता से समझौता करती है। CVSS गंभीरता 6.5 है, जो एक मध्यम लेकिन महत्वपूर्ण जोखिम का संकेत देती है।
Chamilo LMS में एक वैध खाते वाला एक प्रमाणित हमलावर getuserinfofromusername API को किसी अन्य उपयोगकर्ता के उपयोगकर्ता नाम के साथ अनुरोध भेजकर इस भेद्यता का फायदा उठा सकता है। API अतिरिक्त क्रेडेंशियल्स या उन्नत विशेषाधिकारों की आवश्यकता के बिना लक्ष्य उपयोगकर्ता की पूरी व्यक्तिगत जानकारी के साथ प्रतिक्रिया देगा। शोषण में आसानी और गोपनीयता पर संभावित प्रभाव इस भेद्यता को Chamilo LMS का उपयोग करने वाले शैक्षिक संस्थानों के लिए एक महत्वपूर्ण चिंता का विषय बनाते हैं।
एक्सप्लॉइट स्थिति
EPSS
0.03% (10% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता के लिए समाधान Chamilo LMS को संस्करण 1.11.38 या उच्चतर में अपडेट करना है। इस संस्करण में एक फिक्स शामिल है जो getuserinfofromusername API में आवश्यक प्राधिकरण को लागू करता है, जिससे केवल उपयुक्त अनुमतियों वाले उपयोगकर्ताओं को ही उपयोगकर्ता जानकारी तक पहुंचने की अनुमति मिलती है। डेटा एक्सपोजर के जोखिम को कम करने के लिए इस अपडेट को तुरंत लागू करने की सिफारिश की जाती है। इसके अतिरिक्त, अपने प्लेटफ़ॉर्म की सुरक्षा नीतियों की समीक्षा करें और सुनिश्चित करें कि उपयोगकर्ता अपने क्रेडेंशियल्स को सुरक्षित रखने और सूचना अनुरोधों के प्रति सावधान रहने के महत्व को समझते हैं।
Actualice Chamilo LMS a la versión 1.11.38 o posterior para mitigar la exposición de información personal sensible. Esta versión incluye una verificación de autorización que impide que usuarios no autorizados accedan a la información del usuario a través de la API REST get_user_info_from_username.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Chamilo LMS एक ओपन-सोर्स लर्निंग मैनेजमेंट सिस्टम (LMS) है जिसका उपयोग शैक्षिक संस्थानों द्वारा ऑनलाइन पाठ्यक्रम प्रदान करने और छात्रों की सीखने का प्रबंधन करने के लिए किया जाता है।
यदि आप Chamilo LMS के 1.11.38 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप संभवतः प्रभावित हैं। अपने सिस्टम पर स्थापित संस्करण की जांच करें।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो API तक पहुंच को प्रतिबंधित करने या संदिग्ध गतिविधि के लिए नेटवर्क ट्रैफ़िक की निगरानी करने जैसे अतिरिक्त सुरक्षा उपाय करने पर विचार करें।
वर्तमान में, इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है। सत्यापन प्रत्यक्ष API परीक्षण के माध्यम से किया जाता है।
आप NIST NVD (नेशनल वल्नेरेबिलिटी डेटाबेस) जैसे भेद्यता डेटाबेस में इस भेद्यता के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।