Plataforma
php
Componente
chamilo-lms
Corregido en
1.11.35
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en Chamilo LMS, un sistema de gestión del aprendizaje. Esta falla permite a un atacante inyectar código JavaScript malicioso en el campo de configuración de la ruta de aprendizaje del curso. La ejecución exitosa de este código puede comprometer la seguridad de cuentas de usuario con privilegios más altos, incluyendo administradores, afectando a versiones anteriores a 1.11.34. La vulnerabilidad ha sido corregida en la versión 1.11.34.
La vulnerabilidad XSS almacenada en Chamilo LMS presenta un riesgo significativo para la seguridad de los usuarios y la integridad del sistema. Un atacante con una cuenta de usuario con privilegios limitados, como un instructor, puede aprovechar esta falla para inyectar código JavaScript malicioso. Este código, al ser ejecutado en el contexto de otros usuarios que visualizan la información del curso, incluyendo administradores, puede permitir al atacante robar cookies de sesión o tokens de autenticación. La consecución de estos datos sensibles podría resultar en la toma de control de cuentas de administrador (Account Takeover - ATO), permitiendo al atacante realizar acciones maliciosas en el sistema, como la modificación de datos, la eliminación de usuarios o la instalación de software no autorizado. El impacto se amplifica si el sistema Chamilo LMS gestiona información sensible de estudiantes o personal, ya que la exfiltración de esta información podría tener graves consecuencias legales y reputacionales.
La vulnerabilidad CVE-2025-59542 ha sido publicada el 2026-03-06. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos. Sin embargo, la naturaleza de la vulnerabilidad XSS la convierte en un objetivo atractivo para atacantes, especialmente aquellos que buscan comprometer cuentas de administrador. Se recomienda monitorear activamente los sistemas Chamilo LMS en busca de actividad sospechosa.
Organizations utilizing Chamilo LMS, particularly those with trainers or other low-privileged users who have the ability to modify course learning paths, are at risk. Environments with legacy Chamilo installations or those lacking robust security monitoring practices are especially vulnerable.
• php / web:
grep -r 'learning path Settings field' /var/www/html/chamilo/• generic web:
curl -I 'https://your-chamilo-instance/course/view.php?id=123' | grep -i 'content-type: application/javascript'• generic web:
curl 'https://your-chamilo-instance/course/view.php?id=123' | grep -o '<script.*?>.*?</script>'disclosure
Estado del Exploit
EPSS
0.04% (13% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Chamilo LMS a la versión 1.11.34 o superior, donde la falla ha sido corregida. Si la actualización a la última versión no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas medidas pueden incluir la validación y el saneamiento de todas las entradas de usuario, especialmente en los campos de configuración del curso. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript sospechoso. Es crucial revisar y endurecer las políticas de permisos de usuario para limitar el acceso a las funciones de administración. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que el campo de configuración de la ruta de aprendizaje del curso no permita la inyección de código JavaScript.
Actualice Chamilo LMS a la versión 1.11.34 o superior. Esta versión contiene una corrección para la vulnerabilidad XSS almacenada en las rutas de aprendizaje de los cursos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-59542 is a stored cross-site scripting (XSS) vulnerability in Chamilo LMS versions prior to 1.11.34, allowing attackers to inject malicious JavaScript.
You are affected if you are running Chamilo LMS version 1.11.34 or earlier. Upgrade to version 1.11.34 to mitigate the risk.
Upgrade Chamilo LMS to version 1.11.34 or later. Back up your installation before upgrading.
There are currently no publicly known active exploitation campaigns, but the vulnerability's impact suggests it could become a target.
Refer to the official Chamilo security advisory for details and further guidance: [https://www.chamilo.org/en/security-advisories](https://www.chamilo.org/en/security-advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.