Plateforme
php
Composant
campcodes-complete-online-learning-management-system
Corrigé dans
1.0.1
CVE-2026-5546 décrit une vulnérabilité de téléchargement non restreint dans le système de gestion de l'apprentissage Campcodes Complete Online Learning Management System, affectant les versions 1.0.0 à 1.0. Cette faille permet à un attaquant de télécharger des fichiers arbitraires sur le serveur, potentiellement compromettant la sécurité du système. L'exploitation de cette vulnérabilité est possible à distance et un exploit a été publié, augmentant le risque d'attaques. Actuellement, aucun correctif officiel n'est disponible.
Une vulnérabilité critique a été identifiée dans Campcodes Complete Online Learning Management System version 1.0, cataloguée comme CVE-2026-5546. Cette faille de sécurité réside dans la fonction 'addlesson' du fichier '/application/models/Crudmodel.php' et permet des téléchargements de fichiers non restreints. Un attaquant distant peut exploiter cette vulnérabilité pour télécharger des fichiers malveillants sur le serveur, compromettant potentiellement l'intégrité et la confidentialité des données. La publication d'un exploit fonctionnel augmente considérablement le risque d'attaques réussies. L'absence d'une correction officielle (fix) disponible signifie que les utilisateurs doivent prendre des mesures immédiates pour atténuer le risque.
La vulnérabilité CVE-2026-5546 est exploitée via la fonction 'addlesson' dans le modèle Crudmodel.php. Un attaquant peut envoyer une requête HTTP malveillante conçue pour contourner les validations de sécurité et télécharger des fichiers arbitraires. La disponibilité d'un exploit public facilite l'exécution de cette attaque, même pour les utilisateurs ayant des compétences techniques limitées. L'impact potentiel comprend l'exécution de code à distance, la modification de données sensibles et la prise de contrôle du serveur. La nature distante de l'exploitation signifie que l'attaquant n'a pas besoin d'un accès physique au système affecté.
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
Étant donné qu'aucune correction officielle n'est fournie par le développeur, l'atténuation immédiate consiste à désactiver ou à mettre à niveau vers une version sécurisée de Campcodes Complete Online Learning Management System, si une telle version est disponible. En guise de mesure temporaire, il est recommandé de restreindre l'accès au fichier '/application/models/Crud_model.php' via un pare-feu ou des règles d'accès. De plus, la mise en œuvre d'une analyse régulière des vulnérabilités et la surveillance de l'activité du serveur à la recherche de signes d'intrusion sont essentielles. Les administrateurs système doivent examiner attentivement les journaux du serveur pour détecter toute activité suspecte liée au téléchargement de fichiers.
Actualice el plugin Campcodes Complete Online Learning Management System a la última versión disponible para mitigar la vulnerabilidad de carga no restringida. Verifique y configure adecuadamente los permisos de los archivos y directorios para evitar accesos no autorizados. Implemente validaciones robustas en el lado del servidor para todos los archivos cargados.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est un identifiant unique pour cette vulnérabilité de sécurité, utilisé pour la suivre et la référencer dans les rapports et les bases de données de sécurité.
Désactivez le système ou recherchez une version mise à jour dès que possible. Mettez en œuvre des mesures de sécurité temporaires telles que la restriction de l'accès au fichier vulnérable.
Actuellement, aucune correction officielle n'est fournie par le développeur. Surveillez le site web du développeur pour les mises à jour.
Restreindre l'accès au fichier vulnérable, mettre en œuvre un pare-feu, effectuer des analyses de vulnérabilités et surveiller les journaux du serveur.
Un attaquant peut télécharger n'importe quel type de fichier, y compris des fichiers exécutables, ce qui pourrait permettre l'exécution de code malveillant sur le serveur.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.