Platform
php
Component
chamilo-lms
Opgelost in
2.0.1
CVE-2026-40291 describes a privilege escalation vulnerability within Chamilo LMS, an open-source learning management system. This flaw allows authenticated users with the ROLESTUDENT role to elevate their privileges to the highly privileged ROLEADMIN role. The vulnerability impacts versions of Chamilo LMS prior to 2.0.0-RC.3, and a fix is available in version 2.0.0-RC.3.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om de controle over het Chamilo LMS-systeem over te nemen. Door de rollen van een gebruiker met de ROLE_STUDENT rol te wijzigen, kan de aanvaller zichzelf bevoegdheden verlenen als administrator. Dit geeft de aanvaller de mogelijkheid om gebruikersaccounts te beheren, cursusmateriaal te wijzigen, rapporten te bekijken en andere administratieve taken uit te voeren. De impact is aanzienlijk, aangezien een aanvaller de integriteit en vertrouwelijkheid van de leeromgeving kan compromitteren en mogelijk gevoelige gegevens kan stelen of wijzigen. Dit soort privilege escalatie kwetsbaarheden kunnen leiden tot volledige systeemcompromittering, vergelijkbaar met scenario's waarbij een aanvaller toegang krijgt tot de database en deze kan manipuleren.
Deze kwetsbaarheid werd publiek bekendgemaakt op 2026-04-14. Er is momenteel geen informatie beschikbaar over actieve exploits of campagnes die deze kwetsbaarheid uitbuiten. De KEV status is momenteel onbekend. Er zijn geen publiekelijk beschikbare Proof-of-Concept (POC) exploits bekend, maar de beschrijving van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren voor ervaren aanvallers.
Educational institutions and organizations utilizing Chamilo LMS for online learning are at risk. Specifically, deployments with a large number of student users and those relying heavily on the LMS API for integrations are particularly vulnerable. Organizations using older, unpatched versions of Chamilo LMS are also at increased risk.
• php: Examine Chamilo LMS API logs for requests to /api/users/{id} where the roles field is being modified by a user with ROLE_STUDENT.
grep 'ROLE_STUDENT.*roles' /var/log/chamilo/api.log• generic web: Monitor access logs for unusual patterns of requests to the /api/users/{id} endpoint, particularly those originating from users with the ROLE_STUDENT role.
grep '/api/users/[0-9]+/ 192.168.1.100' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.04% (13% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-40291 is het upgraden van Chamilo LMS naar versie 2.0.0-RC.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de /api/users/{id} endpoint. Implementeer een Web Application Firewall (WAF) met regels die pogingen tot het wijzigen van de rollen van gebruikers detecteren en blokkeren. Controleer de configuratie van de API Platform security expressies om er zeker van te zijn dat ze correct zijn geïmplementeerd en record eigendom adequaat verifiëren. Na de upgrade, bevestig de correcte werking door te proberen de rol van een gebruiker met de ROLE_STUDENT rol te wijzigen via de API en te controleren of dit niet meer mogelijk is.
Werk Chamilo LMS bij naar versie 2.0.0-RC.3 of hoger om de privilege escalatie kwetsbaarheid te mitigeren. Deze update corrigeert de rolvalidatiefout in de API, waardoor gebruikers met beperkte rollen hun rollen niet naar administrator kunnen wijzigen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-40291 is a vulnerability in Chamilo LMS versions prior to 2.0.0-RC.3 that allows authenticated ROLESTUDENT users to escalate their privileges to ROLEADMIN.
You are affected if you are using Chamilo LMS versions 2.0-RC.3 or earlier. Upgrade to 2.0.0-RC.3 or later to mitigate the risk.
Upgrade Chamilo LMS to version 2.0.0-RC.3 or later. As a temporary workaround, restrict access to the /api/users/{id} endpoint for ROLE_STUDENT users.
As of the current disclosure date, there are no confirmed reports of active exploitation, but the vulnerability is publicly known.
Refer to the official Chamilo LMS security advisories on their website for the latest information and updates regarding CVE-2026-40291.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.