关键漏洞信息 漏洞概要 产品: Chamilo LMS 版本: 2.0.0 Beta 1 漏洞类型: IDOR(非授权直接对象引用) CVE-ID: CWE-639 CVSS 3.1 Score: 6.5 (Medium) 漏洞描述 多个 Chamilo LMS 终端存在 IDOR 漏洞。认证攻击者可以通过 POST 请求中的 参数操纵其他用户的数据,导致非授权的数据修改或删除。问题在于代码未验证用户是否有操作其他用户数据的权限。 受影响终端 1. DELETE Legal Consent Record:攻击者可删除任意用户的法律协议记录。 2. Send Legal Term Acceptance:攻击者可使用户标记为接受法律条款。 3. Handle Privacy Request:攻击者可提交虚假删除账户请求或吊销法律协议。 技术细节 漏洞代码位置: 关键代码缺少对 参数的权限检查,允许非授权的数据操作。 修正建议 修复代码:使用认证用户 ID 代替请求参数中的 。 备选修复:系统中若需要管理其他用户数据的权限,应添加相应权限检查。 业务影响 1. 违反GDPR:数据保护法规可能被违反。 2. 用户信任:用户可能对其数据保护失去信任。 3. 法律风险:法律问题可能导致严重的后果。 时间线 2025-01-05:漏洞发现 TBD:供应商通知、修复发布等步骤未确定 参考信息 Chamilo LMS GitLab和SecurityWiki地址给出,供进一步了解漏洞细节。