HIGHCVE-2026-31941CVSS 7.7

Chamilo LMSにおけるサーバーサイドリクエストフォージェリ (SSRF)

Q: CVE-2026-31941 in Chamilo LMSの影響はありますか？

はい、Chamilo LMSのバージョン1.11.0から2.0.0-RC.3未満を使用している場合、この脆弱性により内部ネットワークへの不正アクセスや機密情報の漏洩のリスクがあります。

Q: CVE-2026-31941 in Chamilo LMSを修正するにはどうすればよいですか？

Chamilo LMSをバージョン1.11.38にアップデートすることを推奨します。アップデートが利用できない場合は、WAFを導入するなど、代替の対策を検討してください。

Q: CVE-2026-31941に関するChamilo LMSの公式アドバイザリはどこで入手できますか？

Chamilo LMSの公式ウェブサイトまたはセキュリティアドバイザリページで、CVE-2026-31941に関する情報を確認してください。

プラットフォーム

php

コンポーネント

chamilo-lms

修正版

1.11.39

2.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-31941は、Chamilo LMSのSocial Wall機能におけるサーバーサイドリクエストフォージェリ（SSRF）脆弱性です。この脆弱性は、バージョン1.11.0から2.0.0-RC.3未満のChamilo LMSに影響を与えます。攻撃者は、この脆弱性を悪用して、サーバーが内部リソースに対して任意のHTTPリクエストを実行させることが可能です。1.11.38へのアップデートにより、この脆弱性は修正されました。

影響と攻撃シナリオ

このSSRF脆弱性は、認証された攻撃者にとって深刻な脅威となります。攻撃者は、脆弱なChamilo LMSインスタンスを通じて、内部ネットワーク上の他のサービスをスキャンし、機密情報にアクセスしたり、さらには内部システムを制御したりする可能性があります。例えば、クラウド環境では、インスタンスメタデータにアクセスすることで、認証情報を盗み出し、システムを乗っ取ることが考えられます。この脆弱性の悪用は、機密情報の漏洩、システムの停止、さらにはネットワーク全体の侵害につながる可能性があります。類似のSSRF脆弱性は、内部ネットワークへの不正アクセスや、機密情報の窃取に利用される事例が報告されています。

悪用の状況

CVE-2026-31941は、2026年4月10日に公開されました。現時点では、この脆弱性のための公開されているPoCは確認されていませんが、SSRF脆弱性であるため、攻撃者による悪用が懸念されます。CISA KEVカタログへの登録状況は不明です。NVDデータベースにも情報が登録されています。

リスク対象者翻訳中…

Organizations utilizing Chamilo LMS for online learning and training are at risk, particularly those with internal services accessible from the LMS server. Shared hosting environments where Chamilo LMS instances share resources with other applications are also at increased risk, as a compromised Chamilo instance could be used to attack other tenants on the same server.

検出手順翻訳中…

• linux / server:

journalctl -u chamilo | grep -i "read_url_with_open_graph"

• generic web:

curl -I http://your-chamilo-instance/social_wall/read_url_with_open_graph?social_wall_new_msg_main=http://169.254.169.254/latest/meta-data/ | grep 'HTTP/1.1 302' # Check for redirection to internal metadata endpoint

攻撃タイムライン

2026-04-10Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.03% (8% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントchamilo-lms

ベンダーchamilo

影響範囲修正版

< 1.11.38 – < 1.11.381.11.39

>= 2.0.0-alpha.1, < 2.0.0-RC.3 – >= 2.0.0-alpha.1, < 2.0.0-RC.32.0.1

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2026-03-10
公開日2026-04-10
EPSS 更新日2026-04-18

緩和策と回避策

この脆弱性への対応策として、まずChamilo LMSをバージョン1.11.38にアップデートすることを推奨します。アップデートが利用できない場合、WAF（Web Application Firewall）を導入し、SSRF攻撃を検知・防御するルールを設定することを検討してください。また、Social Wall機能の使用を一時的に停止するか、URLの検証を厳格化するなどの対策も有効です。さらに、Chamilo LMSのログを監視し、不審なHTTPリクエストを検出するためのルールを実装することも重要です。アップデート後、Social Wall機能の動作を確認し、SSRF攻撃が発生していないことを確認してください。

修正方法

Chamilo LMS をバージョン 1.11.38 以降、またはバージョン 2.0.0-RC.3 以降にアップデートしてください。このアップデートは、HTTP リクエストを実行する前に、ユーザーが提供する URL を検証することで、SSRF の脆弱性を修正します。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-31941 — SSRF in Chamilo LMSとは何ですか？

CVE-2026-31941は、Chamilo LMSのSocial Wall機能におけるサーバーサイドリクエストフォージェリ（SSRF）脆弱性です。攻撃者は、この脆弱性を悪用して、サーバーが内部リソースに対して任意のHTTPリクエストを実行させることが可能です。

CVE-2026-31941 in Chamilo LMSの影響はありますか？