Plateforme
php
Composant
chamilo-lms
Corrigé dans
1.11.35
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans Chamilo LMS, un système de gestion de l'apprentissage. Avant la version 1.11.34, un attaquant peut supprimer des projets au sein d'un cours sans le consentement de la victime. Cette faille est due à l'absence de protections anti-CSRF (tokens) sur les actions sensibles, comme la suppression de projets, et à l'utilisation de requêtes GET. La version 1.11.34 corrige ce problème.
Cette vulnérabilité CSRF permet à un attaquant de tromper un utilisateur authentifié (formateur) pour qu'il exécute des actions non désirées, notamment la suppression de projets de cours. L'attaquant peut simplement inciter la victime à visiter une page malveillante, déclenchant ainsi la suppression du projet. L'impact principal est la perte de données et la potentielle compromission de l'intégrité des cours. Bien que nécessitant l'authentification de la victime, la simplicité de l'exploitation rend cette vulnérabilité préoccupante, en particulier dans les environnements où les utilisateurs peuvent être moins conscients des risques de sécurité.
Cette vulnérabilité a été rendue publique le 6 mars 2026. Il n'y a pas d'indication d'une exploitation active à ce jour. Aucun PoC public n'a été identifié. La vulnérabilité n'est pas répertoriée sur le KEV de CISA. La probabilité d'exploitation est considérée comme faible en raison de la nécessité d'une interaction avec la victime.
Educational institutions and organizations utilizing Chamilo LMS are at risk, particularly those running versions prior to 1.11.34. Organizations with a large number of 'Trainer' accounts or those that allow users to easily share links to internal Chamilo resources are at higher risk. Shared hosting environments where multiple Chamilo instances reside on the same server could also be impacted.
• php / web: Examine access logs for GET requests to project deletion endpoints with suspicious referer headers.
grep 'project_delete.php' access.log | grep -i 'attacker.com'• php / web: Monitor Chamilo application logs for unusual project deletion events, particularly those associated with Trainer accounts. • generic web: Use curl to test for project deletion functionality via GET requests without CSRF tokens.
curl -v -X GET 'https://chamilo.example.com/project_delete.php?project_id=123' -H 'Referer: https://attacker.com'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Chamilo LMS vers la version 1.11.34 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de renforcer la sécurité en mettant en œuvre des mesures de protection CSRF supplémentaires, telles que l'utilisation de tokens anti-CSRF pour toutes les actions sensibles. Il est également recommandé de sensibiliser les utilisateurs aux risques de phishing et aux liens suspects. Après la mise à jour, vérifiez que la suppression de projet nécessite une confirmation explicite de l'utilisateur.
Mettez à jour Chamilo LMS à la version 1.11.34 ou supérieure. Cette version contient la correction pour la vulnérabilité CSRF dans la suppression de projets. La mise à jour empêchera un attaquant de supprimer des projets sans votre consentement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-59541 is a Cross-Site Request Forgery (CSRF) vulnerability in Chamilo LMS versions before 1.11.34, allowing attackers to delete projects without consent.
You are affected if you are using Chamilo LMS version 1.11.34 or earlier. Upgrade to the latest version to mitigate the risk.
Upgrade Chamilo LMS to version 1.11.34 or later. Consider implementing a WAF with CSRF protection as a temporary workaround.
There is no confirmed active exploitation of CVE-2025-59541 at this time, but the vulnerability is publicly known and could be targeted.
Refer to the official Chamilo security advisory for CVE-2025-59541 on the Chamilo website (check their security announcements page).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.