Plateforme
php
Composant
chamilo-lms
Corrigé dans
1.11.35
Une vulnérabilité de type Cross-Site Scripting (XSS) stockée a été découverte dans Chamilo LMS, un système de gestion de l'apprentissage. Cette faille permet à un attaquant d'injecter du code JavaScript malveillant dans la description d'un cours, ce qui peut entraîner l'exécution de code arbitraire dans le navigateur d'autres utilisateurs. Les versions de Chamilo LMS affectées sont celles inférieures ou égales à la version 1.11.34. Une correction a été déployée dans la version 1.11.34.
L'impact de cette vulnérabilité est significatif. Un attaquant, même disposant d'un compte utilisateur peu privilégié (par exemple, un formateur), peut exploiter cette faille pour injecter du code JavaScript malveillant dans la description d'un cours. Lorsqu'un utilisateur, y compris un administrateur, consulte la page d'information du cours, le code JavaScript injecté s'exécute dans son contexte de navigation. Cela permet à l'attaquant de voler des cookies de session sensibles ou des jetons d'authentification. La compromission de ces informations d'identification peut conduire à une prise de contrôle de compte (ATO) de comptes plus privilégiés, permettant à l'attaquant d'accéder à des données confidentielles, de modifier des paramètres de configuration ou d'effectuer d'autres actions malveillantes au nom de l'utilisateur compromis. Cette vulnérabilité est particulièrement préoccupante dans les environnements où des informations sensibles sont stockées ou traitées via Chamilo LMS.
Cette vulnérabilité est considérée comme critique en raison de son score CVSS de 9.1 et de la facilité potentielle d'exploitation. Aucune information publique n'indique actuellement une exploitation active à grande échelle. Il est conseillé de surveiller les sources d'informations sur les menaces et les forums de sécurité pour détecter d'éventuelles preuves d'exploitation. La vulnérabilité a été publiée le 6 mars 2026.
Organizations using Chamilo LMS, particularly those with trainer roles that have the ability to modify course descriptions, are at risk. Shared hosting environments where multiple users have access to the same Chamilo instance are also particularly vulnerable, as a compromised trainer account could impact all users on the server.
• php: Examine Chamilo LMS logs for unusual JavaScript execution patterns or suspicious activity related to course description modifications.
grep -i 'javascript:' /var/log/chamilo/error.log• generic web: Check course description fields for injected JavaScript code using curl or wget.
curl 'https://your-chamilo-instance.com/course/view.php?id=123' | grep '<script>' • generic web: Review access logs for requests containing suspicious URL parameters or POST data related to course creation or modification.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Chamilo LMS vers la version 1.11.34 ou supérieure, où la vulnérabilité a été corrigée. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises pour atténuer le risque. Il est recommandé de désactiver temporairement la possibilité pour les utilisateurs peu privilégiés de modifier la description des cours. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les tentatives d'injection de code JavaScript malveillant. Configurez le WAF pour détecter et bloquer les requêtes contenant des balises <script> ou d'autres indicateurs d'attaque XSS. Enfin, examinez attentivement les journaux d'accès et d'erreurs du serveur web pour détecter toute activité suspecte.
Mettez à jour Chamilo LMS à la version 1.11.34 ou supérieure. Cette version corrige la vulnérabilité XSS stockée dans la description du cours, évitant ainsi la prise de contrôle potentielle de comptes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-59543 is a critical stored cross-site scripting (XSS) vulnerability in Chamilo LMS versions prior to 1.11.34, allowing attackers to inject malicious JavaScript.
You are affected if you are using Chamilo LMS version 1.11.34 or earlier. Upgrade to 1.11.34 to resolve the vulnerability.
Upgrade Chamilo LMS to version 1.11.34. Consider input validation and WAF rules as temporary mitigations.
There is no current evidence of active exploitation, but the vulnerability's criticality warrants immediate action.
Refer to the official Chamilo security advisory for detailed information and updates: [https://www.chamilo.org/en/security-advisories](https://www.chamilo.org/en/security-advisories)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.