Chamilo AssociationのChamilo LMSにおける複数の脆弱性
| Title |
Chamilo AssociationのChamilo LMSにおける複数の脆弱性
|
| Summary |
Chamilo LMSはオープンソースの学習管理システムです。バージョン2.0.0-RC.3より前のバージョンには、認証なしでアクセス可能なpublic/plugin/Pens/pens.phpにあるPENS(Package Exchange Notification Services)プラグインのエンドポイントが存在していました。このエンドポイントは、ユーザーが制御するpackage-urlパラメータを受け取り、サーバーがcurlを使用してプライベートまたは内部IPアドレスのフィルタリングなしに取得していました。そのため、認証なしでサーバーサイドリクエストフォージェリ(SSRF)が可能でした。攻撃者はこれを悪用し、内部ネットワークサービスのプローブやクラウドメタデータエンドポイント(169.254.169.254など)へのアクセスによりIAM認証情報や機微なインスタンスメタデータを盗み出したり、receiptおよびalertsコールバックパラメータを介して内部サービスに対する状態変更操作を引き起こしたりできました。これらのSSRFベクトルの悪用には認証が不要であり、攻撃対象範囲が著しく広がっていました。この問題はバージョン2.0.0-RC.3で修正されました。
|
| Possible impacts |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 14, 2026, midnight |
| Registration Date |
April 24, 2026, 11:30 a.m. |
| Last Update |
April 24, 2026, 11:30 a.m. |
|
CVSS3.0 : 重要
|
| Score |
8.6
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
Affected System
| Chamilo Association |
|
Chamilo LMS 1.11.38 およびそれ以前
|
|
Chamilo LMS 2.0.0
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年04月24日]
掲載 |
April 24, 2026, 11:30 a.m. |
NVD Vulnerability Information
CVE-2026-34160
| Summary |
Chamilo LMS is an open-source learning management system. In versions prior to 2.0.0-RC.3, the PENS (Package Exchange Notification Services) plugin endpoint at public/plugin/Pens/pens.php is accessible without authentication and accepts a user-controlled package-url parameter that the server fetches using curl without filtering private or internal IP addresses, enabling unauthenticated Server-Side Request Forgery (SSRF). An attacker can exploit this to probe internal network services, access cloud metadata endpoints (such as 169.254.169.254) to steal IAM credentials and sensitive instance metadata, or trigger state-changing operations on internal services via the receipt and alerts callback parameters. No authentication is required to exploit either SSRF vector, significantly increasing the attack surface. This issue has been fixed in version 2.0.0-RC.3.
|
| Publication Date |
April 15, 2026, 6:16 a.m. |
| Registration Date |
April 15, 2026, 11:41 a.m. |
| Last Update |
April 23, 2026, 11:56 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:chamilo:chamilo_lms:*:*:*:*:*:*:*:* |
|
1.11.38 |
|
|
| cpe:2.3:a:chamilo:chamilo_lms:2.0.0:alpha1:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:chamilo:chamilo_lms:2.0.0:alpha2:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:chamilo:chamilo_lms:2.0.0:alpha3:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:chamilo:chamilo_lms:2.0.0:alpha4:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:chamilo:chamilo_lms:2.0.0:alpha5:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:chamilo:chamilo_lms:2.0.0:beta1:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:chamilo:chamilo_lms:2.0.0:beta2:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:chamilo:chamilo_lms:2.0.0:beta3:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:chamilo:chamilo_lms:2.0.0:rc1:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:chamilo:chamilo_lms:2.0.0:rc2:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List