Chamilo LMS - это система управления обучением с открытым исходным кодом. В версиях до 2.0.0-RC.3 конечная точка /api/course_rel_users уязв…
Chamilo LMS - это система управления обучением с открытым исходным кодом. В версиях до 2.0.0-RC.3 конечная точка /api/course_rel_users уязвима для ссылки на небезопасный прямой объект (IDOR), что позволяет аутентифицированному злоумышленнику изменять параметр пользователя в органе запроса, чтобы зарегистрировать любого произвольного пользователя в любой курс без надлежащей проверки авторизации. Бэкенд доверяет пользовательский ввод для пользовательского поля и не выполняет проверку на стороне сервера, что запрашивающий владеет указанным идентификатором пользователя или имеет разрешение действовать от имени других пользователей. Это позволяет несанкционированно манипулировать отношениями между пользователями и курсом, потенциально предоставляя непреднамеренный доступ к материалам курса, минуя контроль регистрации и компрометируя целостность платформы. Эта проблема исправлена в версии 2.0.0-RC.3.
Функциональность авторизации системы не предотвращает возможности одного пользователя получить доступ к данным другого пользователя путём изменения значения ключа, идентифицирующего эти данные.
https://cwe.mitre.org/data/definitions/639.html →Открыть в коллекции CWE →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| chamilo_lms | * | Отслеживается |