Platform
php
Component
pens
Opgelost in
2.0.0-RC.3
CVE-2026-34160 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in de PENS (Package Exchange Notification Services) plugin van Chamilo LMS. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde verzoeken te sturen via de server, mogelijk interne netwerkdiensten te benaderen en gevoelige informatie te verkrijgen. De kwetsbaarheid treft versies van Chamilo LMS van 1.0.0 tot en met 2.0-RC.2. Een fix is beschikbaar in versie 2.0.0-RC.3.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan interne netwerkdiensten scannen en potentieel toegang krijgen tot gevoelige informatie, zoals database credentials of API keys. Bovendien kan de kwetsbaarheid worden misbruikt om cloud metadata endpoints te benaderen, zoals 169.254.169.254, wat kan leiden tot het stelen van IAM credentials en andere gevoelige instantie metadata. Dit kan resulteren in een compromittering van de gehele Chamilo LMS omgeving en de daaraan gekoppelde data. De impact is vergelijkbaar met scenario's waarbij interne systemen onbedoeld worden blootgesteld aan het internet.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar via de NVD. Er is geen informatie over actieve campagnes of KEV-listing op het moment van publicatie. Het is aannemelijk dat er public proof-of-concepts (POCs) beschikbaar komen, waardoor de exploitatiekans toeneemt. De CVSS score van 8.6 (HIGH) duidt op een significante risico.
Organizations utilizing Chamilo LMS, particularly those deploying it in cloud environments (AWS, Azure, GCP), are at significant risk. Shared hosting environments where multiple Chamilo instances reside on the same server are also vulnerable, as a compromise of one instance could potentially lead to the compromise of others. Legacy Chamilo installations that have not been regularly updated are especially susceptible.
• web: Use curl or wget to check if the pens.php endpoint is accessible without authentication and if the package-url parameter accepts arbitrary URLs.
curl -I http://your-chamilo-instance/public/plugin/Pens/pens.php?package-url=http://169.254.169.254/latest/meta-data/iam/security-credentials/admin• generic web: Examine access and error logs for requests to pens.php with unusual or internal IP addresses in the package-url parameter.
• php: Review the pens.php file for the absence of input validation on the package-url parameter.
disclosure
Exploit Status
EPSS
0.06% (19% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-34160 is het upgraden van Chamilo LMS naar versie 2.0.0-RC.3 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van een Web Application Firewall (WAF) of reverse proxy om de toegang tot de pens.php endpoint te beperken en ongeautoriseerde verzoeken te blokkeren. Controleer ook de configuratie van de server en zorg ervoor dat er geen onnodige interne services worden blootgesteld. Monitor de toegang logs op verdachte verzoeken naar interne IP-adressen of cloud metadata endpoints. Na de upgrade, verifieer de fix door een poging te wagen om een verzoek te sturen naar de pens.php endpoint met een interne URL en controleer of dit wordt geblokkeerd.
Actualiseer de PENS plugin naar versie 2.0.0-RC.3 of hoger om de SSRF kwetsbaarheid te mitigeren. Deze update implementeert filters om te voorkomen dat de server gegevens ophaalt van private of interne IP-adressen, waardoor ongeautoriseerde toegang tot interne resources wordt voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-34160 is a Server-Side Request Forgery (SSRF) vulnerability in the PENS plugin of Chamilo LMS versions 1.0.0 through 2.0-RC.2, allowing unauthenticated attackers to probe internal services.
You are affected if you are running Chamilo LMS with the PENS plugin in versions 1.0.0 through 2.0-RC.2. Upgrade to 2.0.0-RC.3 or later to mitigate the risk.
The recommended fix is to upgrade Chamilo LMS to version 2.0.0-RC.3 or later. As a temporary workaround, restrict access to the pens.php endpoint and validate the package-url parameter.
There are currently no publicly known active exploits for CVE-2026-34160, but its SSRF nature makes it a likely target for exploitation.
Refer to the official Chamilo security advisory for CVE-2026-34160 on the Chamilo website (check their security announcements page).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.