प्लेटफ़ॉर्म
php
घटक
chamilo-lms
में ठीक किया गया
1.11.35
CVE-2025-59543 एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो Chamilo LMS में पाई गई है। इस भेद्यता का उपयोग हमलावर कोर्स विवरण फ़ील्ड में दुर्भावनापूर्ण JavaScript कोड इंजेक्ट करने के लिए कर सकता है, जिससे अन्य उपयोगकर्ताओं के संदर्भ में कोड निष्पादित किया जा सकता है, जिसमें व्यवस्थापक भी शामिल हैं। संस्करण 1.11.34 में इस समस्या को ठीक किया गया है।
यह भेद्यता हमलावरों को संवेदनशील सत्र कुकीज़ या टोकन को निकालने की अनुमति देती है, जिससे उच्च-प्राथमिकता वाले उपयोगकर्ताओं के खातों का अधिग्रहण (ATO) हो सकता है। एक प्रशिक्षक जैसे कम-प्राथमिकता वाले खाते वाले हमलावर, कोर्स की जानकारी देखने वाले किसी भी उपयोगकर्ता के संदर्भ में दुर्भावनापूर्ण JavaScript कोड चला सकते हैं। यह हमलावर को व्यवस्थापकों के खातों तक पहुंचने और LMS के भीतर अनधिकृत क्रियाएं करने की क्षमता प्रदान करता है, जिससे डेटा उल्लंघन और सिस्टम समझौता हो सकता है। इस तरह के XSS हमलों का उपयोग फ़िशिंग हमलों को लॉन्च करने, उपयोगकर्ताओं को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट करने या ब्राउज़र में उपयोगकर्ता की जानकारी चुराने के लिए भी किया जा सकता है।
इस भेद्यता के बारे में जानकारी सार्वजनिक रूप से 2026-03-06 को प्रकाशित की गई थी। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (POC) मौजूद हो सकते हैं, जिससे हमलावरों के लिए इसका शोषण करना आसान हो जाता है। इस भेद्यता की गंभीरता को देखते हुए, यह सक्रिय रूप से लक्षित होने की संभावना है। CISA KEV सूची में शामिल होने की स्थिति अभी तक ज्ञात नहीं है।
Organizations using Chamilo LMS, particularly those with trainer roles that have the ability to modify course descriptions, are at risk. Shared hosting environments where multiple users have access to the same Chamilo instance are also particularly vulnerable, as a compromised trainer account could impact all users on the server.
• php: Examine Chamilo LMS logs for unusual JavaScript execution patterns or suspicious activity related to course description modifications.
grep -i 'javascript:' /var/log/chamilo/error.log• generic web: Check course description fields for injected JavaScript code using curl or wget.
curl 'https://your-chamilo-instance.com/course/view.php?id=123' | grep '<script>' • generic web: Review access logs for requests containing suspicious URL parameters or POST data related to course creation or modification.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (13% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-59543 को कम करने के लिए, Chamilo LMS को संस्करण 1.11.34 में तुरंत अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करें जो XSS हमलों को फ़िल्टर कर सके। कोर्स विवरण फ़ील्ड में उपयोगकर्ता इनपुट को मान्य और सैनिटाइज करने के लिए कॉन्फ़िगरेशन वर्कअराउंड लागू करें। सभी उपयोगकर्ताओं को संदिग्ध लिंक पर क्लिक करने या अविश्वसनीय स्रोतों से सामग्री दर्ज करने से बचने के लिए शिक्षित करें।
Chamilo LMS को संस्करण 1.11.34 या उच्चतर में अपडेट करें। यह संस्करण कोर्स विवरण में संग्रहीत XSS भेद्यता को ठीक करता है, जिससे संभावित खाता अधिग्रहण को रोका जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-59543 Chamilo LMS के संस्करणों में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जहां हमलावर कोर्स विवरण में दुर्भावनापूर्ण JavaScript इंजेक्ट कर सकता है।
यदि आप Chamilo LMS के संस्करण 1.11.34 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-59543 को ठीक करने के लिए, Chamilo LMS को संस्करण 1.11.34 में अपग्रेड करें।
इस भेद्यता की गंभीरता को देखते हुए, यह सक्रिय रूप से लक्षित होने की संभावना है।
कृपया Chamilo LMS वेबसाइट पर सुरक्षा सलाहकार देखें: [https://www.chamilo.org/en/security-advisories](https://www.chamilo.org/en/security-advisories)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।