Plateforme
php
Composant
chamilo-lms
Corrigé dans
1.11.1
CVE-2025-66447 describes an open redirect vulnerability discovered in Chamilo LMS. This flaw allows an attacker to redirect users to arbitrary URLs via the redirect parameter in the /login endpoint. The vulnerability affects versions 1.11.0 and later up to, but not including, 2.0-RC.3. A fix is available in version 2.0-beta.2.
La vulnérabilité CVE-2025-66447 dans Chamilo LMS permet à un attaquant de rediriger des utilisateurs vers des sites web malveillants en manipulant le paramètre 'redirect' dans l'URL de connexion (/login). Cela pourrait entraîner le vol de données d'identification, la propagation de logiciels malveillants ou l'usurpation d'identité. Le risque est particulièrement élevé pour les établissements d'enseignement et les organisations utilisant Chamilo LMS, car les utilisateurs pourraient être trompés en entrant leurs noms d'utilisateur et leurs mots de passe sur de faux sites web imitant la plateforme d'apprentissage. Cette vulnérabilité affecte les versions de Chamilo LMS de 1.11.0 à 2.0-beta.1.
Un attaquant pourrait créer une URL malveillante contenant le paramètre 'redirect' défini pour rediriger vers un site web contrôlé par l'attaquant. En envoyant cette URL à un utilisateur, par exemple via un e-mail de phishing, l'utilisateur pourrait être trompé en cliquant sur le lien et être redirigé vers le site web malveillant. La facilité d'exploitation réside dans la simple manipulation de l'URL, sans nécessiter d'authentification préalable. L'absence de validation du paramètre 'redirect' dans les versions vulnérables permet cette manipulation.
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
La solution à cette vulnérabilité est de mettre à jour Chamilo LMS vers la version 2.0-beta.2 ou ultérieure. Cette version inclut une correction qui valide et assainit le paramètre 'redirect' dans l'URL de connexion, empêchant ainsi les redirections non autorisées. Il est fortement recommandé d'appliquer cette mise à jour dès que possible pour protéger votre système et vos utilisateurs. De plus, examinez les journaux du serveur à la recherche de tentatives d'exploitation de cette vulnérabilité et sensibilisez les utilisateurs aux risques de phishing et aux URL suspectes.
Actualice Chamilo LMS a la versión 2.0-beta.2 o posterior para mitigar la vulnerabilidad de redirección sin validación en la página de inicio de sesión. Esta actualización corrige el problema al validar correctamente la URL de destino antes de realizar la redirección.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Chamilo LMS est un système de gestion de l'apprentissage (LMS) open source utilisé par les établissements d'enseignement et les organisations pour gérer les cours en ligne et les ressources d'apprentissage.
Si vous utilisez une version de Chamilo LMS comprise entre 1.11.0 et 2.0-beta.1, votre installation est vulnérable. Vérifiez la version de votre installation dans la configuration du système.
Si vous suspectez que votre système a été compromis, modifiez immédiatement les mots de passe de tous les utilisateurs, examinez les journaux du serveur à la recherche d'activités suspectes et envisagez de réaliser un audit de sécurité complet.
Il n'existe aucun moyen de contournement viable sans mettre à jour vers la version 2.0-beta.2 ou ultérieure. La validation du paramètre 'redirect' est essentielle pour prévenir l'exploitation.
Vous pouvez trouver plus d'informations sur cette vulnérabilité dans les bases de données de vulnérabilités telles que CVE (Common Vulnerabilities and Exposures) et dans la documentation officielle de Chamilo LMS.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.