Plataforma
php
Componente
chamilo-lms
Corrigido em
1.11.39
O Chamilo LMS é um sistema de gerenciamento de aprendizagem. Uma vulnerabilidade foi descoberta na API REST getuserinfofromusername, que permite a usuários autenticados, incluindo estudantes, acessar informações pessoais (email, nome, sobrenome, ID de usuário e status ativo) de qualquer outro usuário. Essa vulnerabilidade afeta as versões 1.11.0 até 1.11.37 e foi corrigida na versão 1.11.38.
A vulnerabilidade CVE-2026-33708 no Chamilo LMS permite que usuários autenticados, incluindo alunos, acessem informações pessoais sensíveis de outros usuários. O endpoint de API REST getuserinfofromusername carece de verificações de autorização adequadas, expondo dados como endereço de e-mail, nome, sobrenome, ID de usuário e status ativo. Este vazamento de informações pode ser usado para ataques de engenharia social, phishing direcionado ou até mesmo para criação de perfis de usuários dentro da plataforma educacional. A falta de controle sobre o acesso a essas informações compromete a privacidade dos usuários e a integridade da plataforma. A severidade CVSS é 6.5, indicando um risco moderado, mas significativo.
Um atacante autenticado, como um aluno com uma conta válida no Chamilo LMS, pode explorar esta vulnerabilidade enviando solicitações para a API getuserinfofromusername com o nome de usuário de qualquer outro usuário. A API responderá com as informações pessoais completas do usuário-alvo, sem a necessidade de credenciais adicionais ou privilégios elevados. A facilidade de exploração e o impacto potencial na privacidade tornam esta vulnerabilidade uma preocupação significativa para as instituições de ensino que utilizam o Chamilo LMS.
Status do Exploit
EPSS
0.03% (percentil 10%)
CISA SSVC
Vetor CVSS
A solução para esta vulnerabilidade é atualizar o Chamilo LMS para a versão 1.11.38 ou superior. Esta versão inclui uma correção que implementa a autorização necessária na API getuserinfofromusername, restringindo o acesso às informações do usuário apenas àqueles com as permissões apropriadas. Recomenda-se aplicar esta atualização imediatamente para mitigar o risco de exposição de dados. Além disso, revise as políticas de segurança da sua plataforma e garanta que os usuários entendam a importância de proteger suas credenciais e serem cautelosos com solicitações de informações.
Actualice Chamilo LMS a la versión 1.11.38 o posterior para mitigar la exposición de información personal sensible. Esta versión incluye una verificación de autorización que impide que usuarios no autorizados accedan a la información del usuario a través de la API REST get_user_info_from_username.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Chamilo LMS é um sistema de gerenciamento de aprendizagem (LMS) de código aberto usado por instituições de ensino para fornecer cursos online e gerenciar o aprendizado dos alunos.
Se você estiver usando uma versão do Chamilo LMS anterior à 1.11.38, provavelmente estará afetado. Verifique a versão instalada em seu sistema.
Se não puder atualizar imediatamente, considere implementar medidas de segurança adicionais, como restringir o acesso à API ou monitorar o tráfego de rede em busca de atividades suspeitas.
Atualmente, não existem ferramentas específicas para detectar esta vulnerabilidade. A verificação é realizada por meio de testes diretos da API.
Você pode encontrar mais informações sobre esta vulnerabilidade em bancos de dados de vulnerabilidades, como o NIST NVD (National Vulnerability Database).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.