Chamilo: プロジェクト削除におけるCSRF脆弱性

このCSRF脆弱性は、攻撃者が認証済みユーザー（Trainer）を騙して、悪意のあるページを閲覧させることで、コース内のプロジェクトを削除することを可能にします。攻撃者は、被害者がログインしている状態で特定のURLにアクセスさせることで、被害者自身が意図しない操作を実行させることができます。この脆弱性の悪用により、重要な学習リソースやコースデータが失われる可能性があります。攻撃者は、この脆弱性を利用して、コースの構造を改ざんしたり、他のユーザーのアクセス権を侵害したりする可能性も考えられます。

Educational institutions and organizations utilizing Chamilo LMS are at risk, particularly those running versions prior to 1.11.34. Organizations with a large number of 'Trainer' accounts or those that allow users to easily share links to internal Chamilo resources are at higher risk. Shared hosting environments where multiple Chamilo instances reside on the same server could also be impacted.

• php / web: Examine access logs for GET requests to project deletion endpoints with suspicious referer headers.

grep 'project_delete.php' access.log | grep -i 'attacker.com'

• php / web: Monitor Chamilo application logs for unusual project deletion events, particularly those associated with Trainer accounts. • generic web: Use curl to test for project deletion functionality via GET requests without CSRF tokens.

curl -v -X GET 'https://chamilo.example.com/project_delete.php?project_id=123' -H 'Referer: https://attacker.com'

1. 2026-03-06Disclosure

   disclosure

1. 予約済み2025-09-17
2. 公開日2026-03-06
3. EPSS 更新日2026-03-23

この脆弱性への主な対策は、Chamilo LMSをバージョン1.11.34以降にアップデートすることです。アップデートが利用できない場合、一時的な回避策として、Webアプリケーションファイアウォール（WAF）を導入し、CSRF攻撃を検知・防御するルールを設定することを検討してください。また、コースのプロジェクト削除操作に対して、追加の認証プロンプトを表示するなどの対策も有効です。アップデート後、プロジェクトの削除機能が正常に動作することを確認してください。