Platform
php
Component
chamilo-lms
Opgelost in
1.11.35
CVE-2025-59542 is een opgeslagen cross-site scripting (XSS) kwetsbaarheid in Chamilo LMS. Deze kwetsbaarheid stelt een aanvaller in staat om kwaadaardige JavaScript code uit te voeren in de context van andere gebruikers, inclusief beheerders. De kwetsbaarheid treedt op in versies van Chamilo LMS tot en met 1.11.34 en is verholpen in versie 1.11.34.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan leiden tot accountovername (ATO) van gebruikers met hogere privileges, zoals beheerders. De aanvaller kan kwaadaardige JavaScript injecteren in de leerpadinstellingen van een cursus. Wanneer andere gebruikers, inclusief beheerders, de cursusinformatiepagina bekijken, wordt de JavaScript code uitgevoerd. Dit stelt de aanvaller in staat om gevoelige sessiecookies of tokens te stelen, waardoor ze de controle over het account van de gebruiker kunnen overnemen. De impact is significant, aangezien beheerders toegang hebben tot gevoelige gegevens en configuratie-instellingen van het LMS.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen informatie over actieve exploitatiecampagnes, maar de lage drempel voor exploitatie (een account met trainer rechten is voldoende) maakt het een aantrekkelijk doelwit. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de ernst ervan onderstreept. Er zijn publieke proof-of-concept (POC) beschikbaar.
Organizations utilizing Chamilo LMS, particularly those with trainers or other low-privileged users who have the ability to modify course learning paths, are at risk. Environments with legacy Chamilo installations or those lacking robust security monitoring practices are especially vulnerable.
• php / web:
grep -r 'learning path Settings field' /var/www/html/chamilo/• generic web:
curl -I 'https://your-chamilo-instance/course/view.php?id=123' | grep -i 'content-type: application/javascript'• generic web:
curl 'https://your-chamilo-instance/course/view.php?id=123' | grep -o '<script.*?>.*?</script>'disclosure
Exploit Status
EPSS
0.04% (13% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van Chamilo LMS naar versie 1.11.34 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de rechten van gebruikers met lage privileges, zodat ze geen leerpadinstellingen kunnen wijzigen. Daarnaast kan het implementeren van een Web Application Firewall (WAF) helpen om kwaadaardige JavaScript code te detecteren en te blokkeren. Controleer de toegangspaden en inputvelden op verdachte patronen. Na de upgrade, verifieer de fix door te proberen JavaScript code in de leerpadinstellingen te injecteren en te controleren of deze niet wordt uitgevoerd.
Werk Chamilo LMS bij naar versie 1.11.34 of hoger. Deze versie bevat een correctie voor de stored XSS kwetsbaarheid in de course learning paths.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-59542 is a stored cross-site scripting (XSS) vulnerability in Chamilo LMS versions prior to 1.11.34, allowing attackers to inject malicious JavaScript.
You are affected if you are running Chamilo LMS version 1.11.34 or earlier. Upgrade to version 1.11.34 to mitigate the risk.
Upgrade Chamilo LMS to version 1.11.34 or later. Back up your installation before upgrading.
There are currently no publicly known active exploitation campaigns, but the vulnerability's impact suggests it could become a target.
Refer to the official Chamilo security advisory for details and further guidance: [https://www.chamilo.org/en/security-advisories](https://www.chamilo.org/en/security-advisories)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.