平台
php
组件
chamilo-lms
修复版本
1.11.39
CVE-2026-33708 是 Chamilo LMS 中的一个信息泄露漏洞。该漏洞允许经过身份验证的用户访问任何用户的个人信息,包括电子邮件、名、姓、用户 ID 和活动状态。该漏洞影响 Chamilo LMS 版本 1.11.0 到 1.11.38 之间。此漏洞已在 1.11.38 版本中修复。
Chamilo LMS 中的 CVE-2026-33708 允许经过身份验证的用户(包括学生)访问其他用户的敏感个人信息。REST API 端点 getuserinfofromusername 缺乏适当的授权检查,从而暴露了诸如电子邮件地址、名、姓、用户 ID 和活动状态等数据。这种信息泄露可用于社会工程攻击、定向网络钓鱼,甚至在教育平台中创建用户档案。缺乏对这些信息访问的控制会损害用户隐私和平台完整性。CVSS 严重程度为 6.5,表明存在中等但显着的风险。
Chamilo LMS 中具有有效帐户的经过身份验证的攻击者可以通过向 getuserinfofromusername API 发送具有任何其他用户名的请求来利用此漏洞。API 将在没有需要额外凭据或提升的权限的情况下,用目标用户的完整个人信息做出响应。Exploit 的容易性和对隐私的潜在影响使此漏洞成为使用 Chamilo LMS 的教育机构的重要问题。
漏洞利用状态
EPSS
0.03% (10% 百分位)
CISA SSVC
CVSS 向量
此漏洞的解决方案是将 Chamilo LMS 更新到 1.11.38 或更高版本。此版本包含修复程序,该修复程序在 getuserinfofromusername API 中实施了必要的授权,从而仅允许具有适当权限的用户访问用户信息。建议立即应用此更新以降低数据泄露的风险。此外,请审查平台的安全策略,并确保用户了解保护其凭据和谨慎处理信息请求的重要性。
Actualice Chamilo LMS a la versión 1.11.38 o posterior para mitigar la exposición de información personal sensible. Esta versión incluye una verificación de autorización que impide que usuarios no autorizados accedan a la información del usuario a través de la API REST get_user_info_from_username.
漏洞分析和关键警报直接发送到您的邮箱。
Chamilo LMS 是教育机构用于提供在线课程和管理学生学习的开源学习管理系统 (LMS)。
如果您使用的是 Chamilo LMS 的 1.11.38 之前的版本,则很可能受到影响。请检查您系统上安装的版本。
如果您无法立即更新,请考虑实施额外的安全措施,例如限制对 API 的访问或监控网络流量以查找可疑活动。
目前没有专门用于检测此漏洞的工具。验证是通过直接 API 测试执行的。
您可以在漏洞数据库(如 NIST NVD(国家漏洞数据库))中找到有关此漏洞的更多信息。