PT-2024-23525 · Unknown · Chamilo Lms
Baha Doumi
·
Publicado
2024-11-04
·
Atualizado
2024-11-05
·
CVE-2024-30619
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Chamilo LMS versão 1.11.26
Descrição
O problema está relacionado a um controle de acesso incorreto, permitindo que um invasor não autenticado solicite informações confidenciais. Especificamente, um invasor pode acessar o número de mensagens e o número de usuários online por meio de “/main/inc/ajax/message.ajax.php?a=get count message” e “/main/inc/ajax/online.ajax.php?a=get users online”. Isso expõe dados confidenciais localmente.
Recomendações
Para o Chamilo LMS versão 1.11.26, aplique o patch imediatamente para mitigar os riscos. Como solução temporária, considere restringir o acesso aos pontos de extremidade da API vulneráveis “/main/inc/ajax/message.ajax.php” e “/main/inc/ajax/online.ajax.php” para minimizar o risco de exploração.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Chamilo Lms