Chamilo: コース説明のStored XSSによるアカウント乗っ取り

このXSS脆弱性は、攻撃者がコース説明欄に悪意のあるJavaScriptコードを注入することを可能にします。攻撃者は、低権限のアカウント（例えば、トレーナー）を持っているだけで、他のユーザーがコース情報ページを閲覧する際に、そのJavaScriptコードを実行できます。これにより、攻撃者は管理者を含む他のユーザーのセッションCookieやトークンを盗み出すことができ、アカウント乗っ取り（ATO）につながる可能性があります。攻撃者は、盗んだCookieを使用して、管理者アカウントになりすまし、システム全体にアクセスし、機密データにアクセスしたり、設定を変更したり、他のユーザーを操作したりする可能性があります。この脆弱性は、特に管理者権限を持つユーザーにとって深刻な脅威となります。

Organizations using Chamilo LMS, particularly those with trainer roles that have the ability to modify course descriptions, are at risk. Shared hosting environments where multiple users have access to the same Chamilo instance are also particularly vulnerable, as a compromised trainer account could impact all users on the server.

• php: Examine Chamilo LMS logs for unusual JavaScript execution patterns or suspicious activity related to course description modifications.

grep -i 'javascript:' /var/log/chamilo/error.log

• generic web: Check course description fields for injected JavaScript code using curl or wget.

curl 'https://your-chamilo-instance.com/course/view.php?id=123' | grep '<script>' 

• generic web: Review access logs for requests containing suspicious URL parameters or POST data related to course creation or modification.

1. 2026-03-06Disclosure

   disclosure

1. 予約済み2025-09-17
2. 公開日2026-03-06
3. 更新日2026-03-09
4. EPSS 更新日2026-03-23

この脆弱性への最善の対応は、Chamilo LMSをバージョン1.11.34にアップデートすることです。アップデートが利用できない場合、一時的な緩和策として、コース説明欄への入力内容を厳密に検証し、JavaScriptコードの注入を防ぐためのサニタイズ処理を実装することを検討してください。Webアプリケーションファイアウォール（WAF）を導入し、XSS攻撃を検出し、ブロックするように設定することも有効です。また、Chamilo LMSのログを監視し、不審なアクティビティを検出することも重要です。アップデート後、システムにログインし、コース情報ページを閲覧することで、脆弱性が修正されていることを確認してください。