Chamilo LMSはオープンソースの学習管理システムです。バージョン2.0-RC.2では、ファイルpublic/main/inc/ajax/install.ajax.phpが、完全にインストールされたインスタンスにおいて認証なしでアクセス可能です。これは、他のAJAXエンドポイントとは異なり、認証とインストール完了のチェックを実行するglobal.inc.phpファイルを含まないためです。そのtest_mailerアクションは、POSTデータから任意のSymfony Mailer DSN文字列を受け取り、それを使用して攻撃者が指定したSMTPサーバーに接続し、Server-Side Request Forgery (SSRF)をSMTPプロトコル経由で内部ネットワークに引き起こすことを可能にします。認証されていない攻撃者は、この脆弱性を悪用して、Chamiloサーバーをフィッシングやスパムキャンペーンのためのオープンなメールリレーとして利用することもできます。メールはサーバーのIPアドレスから送信されたように見えます。さらに、SMTP接続の失敗からのエラー応答は、内部ネットワークのトポロジーと実行中のサービスに関する情報を開示する可能性があります。この問題はバージョン2.0.0-RC.3で修正されています。

この SSRF 脆弱性を悪用すると、攻撃者は Chamilo LMS がアクセスできる内部ネットワーク上のリソースにアクセスできる可能性があります。攻撃者は、SMTP 経由で内部サービスにリクエストを送信し、機密情報を盗んだり、内部システムを侵害したりする可能性があります。例えば、内部データベースへのアクセス、内部 API の呼び出し、または内部ネットワーク上の他のシステムへの攻撃などが考えられます。この脆弱性は、Chamilo LMS を使用している組織にとって、重大なセキュリティリスクとなります。攻撃者は、認証情報を必要とせずに内部ネットワークにアクセスできるため、潜在的な影響は非常に大きいです。

1. 予約済み2026-03-23
2. 公開日2026-04-14
3. 更新日2026-04-17
4. EPSS 更新日2026-04-22

Chamilo LMS のバージョン 2.0.0-RC.3 以降にアップグレードすることが推奨されます。アップグレードが困難な場合は、public/main/inc/ajax/install.ajax.php ファイルへのアクセスを制限するファイアウォールルールまたはプロキシルールを設定することで、脆弱性を軽減できます。また、test_mailer アクションへの POST データに含まれる DSN 文字列の検証を強化することも有効です。アップグレード後、install.ajax.php ファイルへのアクセスを検証し、認証が必要であることを確認してください。