Platform
php
Component
chamilo-lms
Opgelost in
1.11.39
Chamilo LMS is een learning management systeem. Een kwetsbaarheid is ontdekt in de getuserinfofromusername REST API endpoint. Deze endpoint geeft persoonlijke informatie (email, voornaam, achternaam, gebruikers-ID, actieve status) van elke gebruiker vrij aan elke geauthenticeerde gebruiker, inclusief studenten, zonder autorisatiecontrole. Deze kwetsbaarheid treft versies 1.11.0 tot en met 1.11.37 en is verholpen in versie 1.11.38.
CVE-2026-33708 in Chamilo LMS stelt geauthenticeerde gebruikers, inclusief studenten, in staat om toegang te krijgen tot gevoelige persoonlijke informatie van andere gebruikers. Het REST API-eindpunt getuserinfofromusername beschikt niet over de juiste autorisatiecontroles, waardoor gegevens zoals e-mailadres, voornaam, achternaam, gebruikers-ID en actieve status worden blootgesteld. Deze informatielek kan worden gebruikt voor social engineering-aanvallen, gerichte phishing of zelfs om gebruikersprofielen binnen het onderwijsplatform te maken. Het gebrek aan controle over de toegang tot deze informatie compromitteert de privacy van gebruikers en de integriteit van de platform.
Een geauthenticeerde aanvaller, zoals een student met een geldig account in Chamilo LMS, kan deze kwetsbaarheid uitbuiten door verzoeken naar de API getuserinfofromusername te sturen met de gebruikersnaam van een andere gebruiker. De API antwoordt met de volledige persoonlijke informatie van de doelgebruiker, zonder dat extra inloggegevens of verhoogde privileges vereist zijn. De eenvoud van exploitatie en de potentiële impact op de privacy maken deze kwetsbaarheid tot een belangrijk probleem voor onderwijsinstellingen die Chamilo LMS gebruiken.
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om Chamilo LMS bij te werken naar versie 1.11.38 of hoger. Deze versie bevat een correctie die de benodigde autorisatie in de API getuserinfofromusername implementeert, waardoor de toegang tot gebruikersinformatie wordt beperkt tot degenen met de juiste machtigingen. Het wordt aanbevolen om deze update onmiddellijk toe te passen om het risico op gegevensblootstelling te verminderen. Controleer bovendien de beveiligingsbeleidsregels van uw platform en zorg ervoor dat gebruikers de belangrijkheid begrijpen van het beschermen van hun inloggegevens en voorzichtig te zijn met informatieverzoeken.
Actualice Chamilo LMS a la versión 1.11.38 o posterior para mitigar la exposición de información personal sensible. Esta versión incluye una verificación de autorización que impide que usuarios no autorizados accedan a la información del usuario a través de la API REST get_user_info_from_username.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Chamilo LMS is een open-source learning management system (LMS) dat door onderwijsinstellingen wordt gebruikt om online cursussen aan te bieden en het leren van studenten te beheren.
Als u een versie van Chamilo LMS gebruikt die vóór 1.11.38 is uitgebracht, is de kans groot dat u getroffen bent. Controleer de geïnstalleerde versie op uw systeem.
Als u niet onmiddellijk kunt updaten, overweeg dan om extra beveiligingsmaatregelen te implementeren, zoals het beperken van de toegang tot de API of het bewaken van het netwerkverkeer op verdachte activiteiten.
Momenteel zijn er geen specifieke tools om deze kwetsbaarheid te detecteren. De verificatie wordt uitgevoerd door middel van directe API-tests.
U kunt meer informatie over deze kwetsbaarheid vinden in kwetsbaarheidsdatabases zoals de NIST NVD (National Vulnerability Database).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.