Plataforma
php
Componente
pens
Corrigido em
2.0.0-RC.3
A vulnerabilidade CVE-2026-34160 é uma falha de Server-Side Request Forgery (SSRF) descoberta no plugin PENS (Package Exchange Notification Services) do Chamilo LMS. Essa falha permite que um atacante não autenticado explore o endpoint public/plugin/Pens/pens.php para realizar requisições a recursos internos, potencialmente expondo informações sensíveis e comprometendo a segurança do sistema. Versões afetadas incluem 1.0.0 até 2.0-RC.3. A correção está disponível na versão 2.0.0-RC.3.
Um atacante pode explorar esta vulnerabilidade para realizar requisições a serviços internos que normalmente não seriam acessíveis externamente. Isso inclui a capacidade de sondar a rede interna em busca de serviços expostos, acessar metadados de instâncias em nuvem (como o endpoint 169.254.169.254 para AWS) e, crucialmente, roubar credenciais de IAM e outras informações confidenciais armazenadas nesses metadados. A exploração bem-sucedida pode levar ao comprometimento completo do sistema Chamilo e potencialmente a um ataque de escalada de privilégios na infraestrutura subjacente, especialmente em ambientes de nuvem. A falta de autenticação necessária para explorar a vulnerabilidade aumenta significativamente o seu potencial de impacto.
A vulnerabilidade foi divulgada em 2026-04-14. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A ausência de um Proof of Concept (PoC) público não diminui a gravidade da vulnerabilidade, dado o seu potencial de impacto e a facilidade de exploração. A combinação de SSRF e acesso não autenticado torna esta vulnerabilidade particularmente perigosa.
Organizations utilizing Chamilo LMS, particularly those deploying it in cloud environments (AWS, Azure, GCP), are at significant risk. Shared hosting environments where multiple Chamilo instances reside on the same server are also vulnerable, as a compromise of one instance could potentially lead to the compromise of others. Legacy Chamilo installations that have not been regularly updated are especially susceptible.
• web: Use curl or wget to check if the pens.php endpoint is accessible without authentication and if the package-url parameter accepts arbitrary URLs.
curl -I http://your-chamilo-instance/public/plugin/Pens/pens.php?package-url=http://169.254.169.254/latest/meta-data/iam/security-credentials/admin• generic web: Examine access and error logs for requests to pens.php with unusual or internal IP addresses in the package-url parameter.
• php: Review the pens.php file for the absence of input validation on the package-url parameter.
disclosure
Status do Exploit
EPSS
0.06% (percentil 19%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o Chamilo LMS para a versão 2.0.0-RC.3, que inclui a correção para esta vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais como uma camada de proteção. Uma WAF (Web Application Firewall) pode ser configurada para bloquear requisições com parâmetros package-url suspeitos ou para restringir o acesso ao endpoint pens.php. Além disso, revise as regras do firewall para garantir que apenas o tráfego necessário seja permitido para o servidor Chamilo. Monitore os logs do servidor em busca de requisições anormais para o endpoint pens.php. Após a atualização, confirme a correção verificando se o parâmetro package-url é devidamente validado e sanitizado.
Atualize o plugin PENS para a versão 2.0.0-RC.3 ou superior para mitigar a vulnerabilidade de SSRF. Esta atualização implementa filtros para evitar que o servidor recupere dados de endereços IP privados ou internos, prevenindo assim o acesso não autorizado a recursos internos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-34160 is a Server-Side Request Forgery (SSRF) vulnerability in the PENS plugin of Chamilo LMS versions 1.0.0 through 2.0-RC.2, allowing unauthenticated attackers to probe internal services.
You are affected if you are running Chamilo LMS with the PENS plugin in versions 1.0.0 through 2.0-RC.2. Upgrade to 2.0.0-RC.3 or later to mitigate the risk.
The recommended fix is to upgrade Chamilo LMS to version 2.0.0-RC.3 or later. As a temporary workaround, restrict access to the pens.php endpoint and validate the package-url parameter.
There are currently no publicly known active exploits for CVE-2026-34160, but its SSRF nature makes it a likely target for exploitation.
Refer to the official Chamilo security advisory for CVE-2026-34160 on the Chamilo website (check their security announcements page).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.