Platform
php
Component
chamilo-lms
Opgelost in
1.11.39
CVE-2026-33706 is een privilege-escalatie kwetsbaarheid in Chamilo LMS, een learning management systeem. Deze kwetsbaarheid stelt geauthenticeerde gebruikers in staat om hun status te wijzigen via de REST API, waardoor een student (status 5) bijvoorbeeld de status van een leraar of cursusbeheerder (status 1) kan aannemen. De kwetsbaarheid treft versies 1.11.0 tot en met 1.11.37 en is verholpen in versie 1.11.38.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde privileges te verkrijgen binnen het Chamilo LMS. Een student, bijvoorbeeld, kan zichzelf promoveren tot leraar of cursusbeheerder, waardoor ze toegang krijgen tot functies zoals het maken en beheren van cursussen, het toevoegen van gebruikers en het wijzigen van cursusinhoud. Dit kan leiden tot een significante inbreuk op de integriteit en vertrouwelijkheid van de leeromgeving. De impact is vergelijkbaar met het verkrijgen van beheerdersrechten, waardoor de aanvaller de controle over de LMS kan overnemen.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen informatie over actieve campagnes of KEV-listing op het moment van publicatie. Er zijn geen publieke proof-of-concept exploits bekend, maar de eenvoud van de exploitatie maakt dit waarschijnlijk. De kwetsbaarheid is gepubliceerd op 2026-04-10.
Exploit Status
EPSS
0.03% (8% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-33706 is het upgraden van Chamilo LMS naar versie 1.11.38 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de REST API of het implementeren van strikte authenticatie- en autorisatiecontroles. Controleer de REST API endpoints op onnodige privileges en implementeer waar mogelijk role-based access control. Na de upgrade, bevestig de correcte werking door te proberen de gebruikersstatus te wijzigen via de REST API met een studentenaccount; dit zou niet meer mogelijk moeten zijn.
Werk Chamilo LMS bij naar versie 1.11.38 of hoger om de privilege escalatie kwetsbaarheid te mitigeren. De update corrigeert de manier waarop de gebruikersstatus via de REST API wordt bijgewerkt, waardoor studenten zichzelf niet meer kunnen promoveren naar docent- of cursusbeheerdersrollen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33706 is a security vulnerability in Chamilo LMS versions 1.11.0 to 1.11.37 that allows authenticated users to escalate their privileges to Teacher/Course Manager, potentially gaining control over courses and users.
You are affected if you are running Chamilo LMS version 1.11.0 through 1.11.37. Upgrade to version 1.11.38 to resolve the vulnerability.
The recommended fix is to upgrade Chamilo LMS to version 1.11.38. As a temporary workaround, restrict access to the updateuserfrom_username endpoint using a WAF or proxy.
Currently, there are no publicly known active campaigns exploiting CVE-2026-33706, but it's crucial to apply the fix proactively.
Refer to the official Chamilo LMS security advisory for detailed information and updates regarding CVE-2026-33706.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.