Plateforme
java
Composant
openolat
Corrigé dans
19.1.32
20.1.19
20.2.6
La vulnérabilité CVE-2026-28228 est une faille d'exécution de code à distance (RCE) affectant OpenOLAT. Un utilisateur authentifié avec le rôle d'auteur peut injecter des directives Velocity dans un modèle d'e-mail de rappel, permettant l'exécution de commandes système arbitraires côté serveur. Cette vulnérabilité affecte les versions d'OpenOLAT antérieures à 19.1.31, 20.1.18 et 20.2.5. Elle est corrigée dans les versions 19.1.31, 20.1.18 et 20.2.5 et supérieures.
La vulnérabilité CVE-2026-28228 dans OpenOLAT permet à un utilisateur authentifié avec le rôle d'Auteur d'injecter des directives Velocity dans les modèles d'e-mails de rappel. Lorsque ces rappels sont traités (manuellement ou via la tâche cron quotidienne), les directives injectées sont évaluées côté serveur. Un attaquant peut exploiter cela en combinant la directive #set de Velocity avec la réflexion Java pour instancier des objets arbitraires, ce qui peut entraîner une exécution de code à distance. Cela peut entraîner un compromis du système, une exfiltration de données ou un déni de service. Le score CVSS de 8,8 indique un risque de haute gravité, nécessitant une attention immédiate. Les versions concernées sont celles antérieures à 19.1.31, 20.1.18 et 20.2.5.
Un attaquant ayant un accès authentifié au système OpenOLAT et possédant le rôle d'Auteur peut exploiter cette vulnérabilité. Le processus d'exploitation consiste à injecter des directives Velocity malveillantes dans un modèle d'e-mail de rappel. Ces directives, lors de leur traitement, permettent l'exécution de code Java arbitraire via la réflexion. La complexité de l'exploitation peut varier en fonction de l'environnement et de la configuration du système, mais elle est généralement considérée comme relativement facile pour un attaquant ayant des compétences techniques.
Organizations and institutions utilizing OpenOLAT for e-learning and training are at risk, particularly those running vulnerable versions (≤ 20.2.5). Environments where the Author role has broad permissions and access to email template modification are especially susceptible. Shared hosting environments running OpenOLAT should be carefully assessed for potential cross-tenant impact.
• java / server:
ps aux | grep -i openolat• java / server:
journalctl -u openolat | grep -i "Velocity"• generic web:
curl -I https://<your_openolat_url>/ | grep -i "OpenOLAT"disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
CISA SSVC
Vecteur CVSS
Actuellement, aucune correction officielle n'est fournie par OpenOLAT pour cette vulnérabilité. L'atténuation la plus efficace consiste à mettre à niveau vers les versions 19.1.31, 20.1.18 ou 20.2.5 dès qu'elles sont disponibles. En attendant, restreignez le rôle d'Auteur aux utilisateurs de confiance et examinez attentivement les modèles d'e-mails de rappel pour détecter d'éventuelles injections. La mise en œuvre de contrôles de sécurité supplémentaires, tels que la validation des entrées et la désinfection des données, peut contribuer à réduire le risque. Surveiller les journaux du serveur à la recherche d'activités suspectes liées à l'exécution de Velocity est également essentiel. Rester informé des mises à jour de sécurité d'OpenOLAT et appliquer les correctifs rapidement est essentiel.
Mettez à jour OpenOLAT vers la version 19.1.31, 20.1.18 ou 20.2.5, ou vers une version ultérieure. Cela corrigera la vulnérabilité d’injection de modèles côté serveur dans les modèles Velocity.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Velocity est un moteur de modèles open source qui permet la génération dynamique de texte. Il est couramment utilisé dans les applications web pour créer du contenu personnalisé.
L'injection Velocity permet à un attaquant d'exécuter du code arbitraire sur le serveur, ce qui peut entraîner un compromis du système ou une exfiltration de données.
Si vous utilisez une version antérieure à 19.1.31, 20.1.18 ou 20.2.5, votre installation est vulnérable.
Restreignez le rôle d'Auteur, examinez les modèles d'e-mails et surveillez les journaux du serveur.
Consultez l'entrée CVE-2026-28228 dans les bases de données de vulnérabilités telles que le NIST NVD.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.