प्लेटफ़ॉर्म
php
घटक
chamilo-lms
में ठीक किया गया
1.11.1
CVE-2025-66447 describes an open redirect vulnerability discovered in Chamilo LMS. This flaw allows an attacker to redirect users to arbitrary URLs via the redirect parameter in the /login endpoint. The vulnerability affects versions 1.11.0 and later up to, but not including, 2.0-RC.3. A fix is available in version 2.0-beta.2.
चामिलो एलएमएस में CVE-2025-66447 एक हमलावर को लॉगिन यूआरएल (/login) में 'redirect' पैरामीटर में हेरफेर करके उपयोगकर्ताओं को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित करने की अनुमति देता है। इससे क्रेडेंशियल की चोरी, मैलवेयर का प्रसार या पहचान का प्रतिरूपण हो सकता है। शिक्षा संस्थानों और संगठनों के लिए जो चामिलो एलएमएस का उपयोग करते हैं, उनके लिए जोखिम विशेष रूप से अधिक है, क्योंकि उपयोगकर्ताओं को सीखने के प्लेटफॉर्म की नकल करने वाली नकली वेबसाइटों पर अपने उपयोगकर्ता नाम और पासवर्ड दर्ज करने के लिए बरगलाया जा सकता है। यह भेद्यता चामिलो एलएमएस के संस्करण 1.11.0 से 2.0-बीटा.1 तक प्रभावित होती है।
एक हमलावर 'redirect' पैरामीटर के साथ एक दुर्भावनापूर्ण यूआरएल बना सकता है, जिसे हमलावर द्वारा नियंत्रित वेबसाइट पर पुनर्निर्देशित करने के लिए सेट किया गया है। इस यूआरएल को उपयोगकर्ता को भेजने (उदाहरण के लिए, फ़िशिंग ईमेल के माध्यम से), उपयोगकर्ता को लिंक पर क्लिक करने और दुर्भावनापूर्ण वेबसाइट पर पुनर्निर्देशित करने के लिए बरगलाया जा सकता है। शोषण की आसानी सरल यूआरएल हेरफेर में निहित है, जिसके लिए किसी पूर्व प्रमाणीकरण की आवश्यकता नहीं होती है। कमजोर संस्करणों में 'redirect' पैरामीटर का सत्यापन की कमी इस हेरफेर को सक्षम बनाती है।
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता के लिए समाधान चामिलो एलएमएस को संस्करण 2.0-बीटा.2 या बाद के संस्करण में अपडेट करना है। इस संस्करण में एक फिक्स शामिल है जो लॉगिन यूआरएल में 'redirect' पैरामीटर को मान्य और सैनिटाइज करता है, जिससे अनधिकृत पुनर्निर्देशन को रोका जा सकता है। अपने सिस्टम और उपयोगकर्ताओं की सुरक्षा के लिए इस अपडेट को जल्द से जल्द लागू करने की पुरजोर सिफारिश की जाती है। इसके अतिरिक्त, इस भेद्यता का शोषण करने के किसी भी प्रयास के लिए सर्वर लॉग की समीक्षा करें और उपयोगकर्ताओं को फ़िशिंग जोखिमों और संदिग्ध यूआरएल के बारे में शिक्षित करें।
Actualice Chamilo LMS a la versión 2.0-beta.2 o posterior para mitigar la vulnerabilidad de redirección sin validación en la página de inicio de sesión. Esta actualización corrige el problema al validar correctamente la URL de destino antes de realizar la redirección.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
चामिलो एलएमएस एक ओपन-सोर्स लर्निंग मैनेजमेंट सिस्टम (एलएमएस) है जिसका उपयोग शिक्षा संस्थानों और संगठनों द्वारा ऑनलाइन पाठ्यक्रम और सीखने के संसाधनों को प्रबंधित करने के लिए किया जाता है।
यदि आप चामिलो एलएमएस के संस्करण 1.11.0 से 2.0-बीटा.1 के बीच उपयोग कर रहे हैं, तो आपका इंस्टॉलेशन भेद्य है। सिस्टम कॉन्फ़िगरेशन में अपने इंस्टॉलेशन संस्करण की जांच करें।
यदि आपको संदेह है कि आपका सिस्टम समझौता किया गया है, तो तुरंत सभी उपयोगकर्ता पासवर्ड बदलें, किसी भी संदिग्ध गतिविधि के लिए सर्वर लॉग की समीक्षा करें और व्यापक सुरक्षा ऑडिट करने पर विचार करें।
जब तक आप संस्करण 2.0-बीटा.2 या बाद के संस्करण में अपडेट नहीं करते हैं, तब तक कोई व्यावहारिक वर्कअराउंड नहीं है। शोषण को रोकने के लिए 'redirect' पैरामीटर का सत्यापन आवश्यक है।
आप CVE (कॉमन भेद्यताएं और एक्सपोजर) जैसे भेद्यता डेटाबेस और चामिलो एलएमएस के आधिकारिक दस्तावेज़ में इस भेद्यता के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।