Plataforma
php
Componente
chamilo-lms
Corrigido em
1.11.39
A vulnerabilidade CVE-2026-33706 é uma falha de escalada de privilégios no Chamilo LMS, um sistema de gerenciamento de aprendizagem. Um usuário autenticado com uma chave de API REST pode modificar seu próprio status, permitindo que um aluno (status 5) se eleve a professor/gerente de curso (status 1), obtendo privilégios de criação e gerenciamento de cursos. A vulnerabilidade afeta as versões 1.11.0 até 1.11.37 e foi corrigida na versão 1.11.38.
Esta vulnerabilidade permite que um usuário mal-intencionado, com acesso autenticado ao Chamilo LMS, altere seu status de usuário para um nível superior, especificamente de aluno para professor/gerente de curso. Isso concede ao atacante a capacidade de criar, editar e excluir cursos, gerenciar alunos e, potencialmente, comprometer a integridade dos dados educacionais. O impacto é significativo, pois um atacante pode manipular o conteúdo do curso, adicionar ou remover usuários e até mesmo obter acesso a informações confidenciais relacionadas aos alunos. A exploração bem-sucedida pode levar a uma completa tomada de controle do ambiente de aprendizado.
A vulnerabilidade foi divulgada em 2026-04-10. Não há evidências de exploração ativa em campanhas direcionadas no momento da publicação. A ausência de um Proof of Concept (PoC) público dificulta a avaliação precisa da probabilidade de exploração, mas a facilidade de exploração (requer apenas uma chave de API válida) sugere um risco moderado. A vulnerabilidade não está listada no KEV da CISA.
Status do Exploit
EPSS
0.03% (percentil 8%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-33706 é a atualização imediata para a versão 1.11.38 do Chamilo LMS. Se a atualização imediata não for possível, considere desabilitar temporariamente a API REST ou restringir o acesso ao endpoint updateuserfrom_username apenas a usuários com privilégios administrativos. Implementar controles de acesso mais rigorosos e auditoria de atividades de usuários também pode ajudar a detectar e prevenir a exploração. Monitore os logs do sistema em busca de tentativas de modificação de status de usuário e configure alertas para atividades suspeitas.
Actualice Chamilo LMS a la versión 1.11.38 o posterior para mitigar la vulnerabilidad de escalada de privilegios. La actualización corrige la forma en que se actualiza el estado del usuario a través de la API REST, evitando que los estudiantes se auto-promocionen a roles de profesor o administrador de curso.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33706 is a security vulnerability in Chamilo LMS versions 1.11.0 to 1.11.37 that allows authenticated users to escalate their privileges to Teacher/Course Manager, potentially gaining control over courses and users.
You are affected if you are running Chamilo LMS version 1.11.0 through 1.11.37. Upgrade to version 1.11.38 to resolve the vulnerability.
The recommended fix is to upgrade Chamilo LMS to version 1.11.38. As a temporary workaround, restrict access to the updateuserfrom_username endpoint using a WAF or proxy.
Currently, there are no publicly known active campaigns exploiting CVE-2026-33706, but it's crucial to apply the fix proactively.
Refer to the official Chamilo LMS security advisory for detailed information and updates regarding CVE-2026-33706.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.