Platform
php
Component
chamilo-lms
Opgelost in
1.11.1
CVE-2025-66447 describes an open redirect vulnerability discovered in Chamilo LMS. This flaw allows an attacker to redirect users to arbitrary URLs via the redirect parameter in the /login endpoint. The vulnerability affects versions 1.11.0 and later up to, but not including, 2.0-RC.3. A fix is available in version 2.0-beta.2.
CVE-2025-66447 in Chamilo LMS stelt een aanvaller in staat om gebruikers om te leiden naar kwaadaardige websites door de 'redirect'-parameter in de inlog-URL (/login) te manipuleren. Dit kan leiden tot diefstal van inloggegevens, verspreiding van malware of identiteitsfraude. Het risico is vooral groot voor onderwijsinstellingen en organisaties die Chamilo LMS gebruiken, aangezien gebruikers mogelijk worden misleid om hun gebruikersnaam en wachtwoord in te voeren op valse websites die het leerplatform nadoen. Deze kwetsbaarheid treft Chamilo LMS-versies van 1.11.0 tot 2.0-beta.1.
Een aanvaller kan een kwaadaardige URL maken met de 'redirect'-parameter ingesteld om door te verwijzen naar een website die door de aanvaller wordt gecontroleerd. Door deze URL naar een gebruiker te sturen, bijvoorbeeld via een phishing-e-mail, kan de gebruiker worden misleid om op de link te klikken en naar de kwaadaardige website te worden doorverwezen. De eenvoud van de exploitatie ligt in de eenvoudige URL-manipulatie, zonder dat voorafgaande authenticatie vereist is. Het ontbreken van validatie van de 'redirect'-parameter in kwetsbare versies maakt deze manipulatie mogelijk.
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om Chamilo LMS bij te werken naar versie 2.0-beta.2 of hoger. Deze versie bevat een correctie die de 'redirect'-parameter in de inlog-URL valideert en opschont, waardoor ongeautoriseerde doorverwijzingen worden voorkomen. Het wordt ten zeerste aanbevolen om deze update zo snel mogelijk toe te passen om uw systeem en gebruikers te beschermen. Controleer bovendien de serverlogboeken op pogingen om deze kwetsbaarheid uit te buiten en informeer gebruikers over phishing-risico's en verdachte URL's.
Actualice Chamilo LMS a la versión 2.0-beta.2 o posterior para mitigar la vulnerabilidad de redirección sin validación en la página de inicio de sesión. Esta actualización corrige el problema al validar correctamente la URL de destino antes de realizar la redirección.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Chamilo LMS is een open-source Learning Management System (LMS) dat door onderwijsinstellingen en organisaties wordt gebruikt om online cursussen en leerbronnen te beheren.
Als u een versie van Chamilo LMS gebruikt tussen 1.11.0 en 2.0-beta.1, is uw installatie kwetsbaar. Controleer de versie van uw installatie in de systeemconfiguratie.
Als u vermoedt dat uw systeem is gecompromitteerd, wijzig dan onmiddellijk alle gebruikerswachtwoorden, controleer de serverlogboeken op verdachte activiteiten en overweeg een uitgebreid beveiligingsaudit uit te voeren.
Er is geen haalbare workaround zonder te updaten naar versie 2.0-beta.2 of hoger. De validatie van de 'redirect'-parameter is essentieel om exploitatie te voorkomen.
U kunt meer informatie over deze kwetsbaarheid vinden in kwetsbaarheidsdatabases zoals CVE (Common Vulnerabilities and Exposures) en in de officiële Chamilo LMS-documentatie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.