CVE-2026-34370Chamilo LMS是一款开源学习管理系统,在2.0.0-RC.3之前的版本中,其笔记本模块存在不安全的直接对象引用(IDOR)漏洞。由于应用程序在获取笔记信息时仅依赖提供的ID而未验证请求者身份,任何经过身份验证的学生都可以通过修改editnote操作中的notebook_id参数,访问并读取平台上任意其他用户的私人课程笔记内容,导致严重的信息泄露风险。
该漏洞的核心在于Chamilo LMS笔记本模块的读取路径缺乏访问控制。具体来说,`get_note_information()`函数在处理数据获取请求时,仅使用了客户端提交的整数ID作为查询条件,完全未校验当前登录用户是否是该笔记的拥有者。尽管代码在`updateNote()`和`delete_note()`等写入路径中包含了所有权检查,但读取路径的疏忽使得攻击者能够利用这一逻辑缺陷。攻击者只需拥有普通学生账号,即可通过遍历或猜测ID,向服务器发送带有恶意notebook_id的请求。由于服务端未进行拦截,服务器响应时会直接返回目标笔记的完整标题和HTML正文内容。这种水平越权漏洞允许攻击者批量获取平台内所有用户的私人笔记数据,造成严重的数据隐私泄露。