Platform
java
Component
openolat
Opgelost in
19.1.32
20.1.19
20.2.6
CVE-2026-28228 is een Remote Code Execution (RCE) kwetsbaarheid die is ontdekt in OpenOLAT, een open-source e-learning platform. Deze kwetsbaarheid stelt een geauthenticeerde gebruiker met de Author rol in staat om schadelijke code uit te voeren via het injecteren van Velocity directives in reminder e-mail templates. De kwetsbaarheid treft versies van OpenOLAT tot en met 20.2.5 en vereist een upgrade naar een beveiligde versie om de risico's te mitigeren.
Een succesvolle exploitatie van CVE-2026-28228 kan leiden tot volledige controle over de server waarop OpenOLAT draait. Een aanvaller kan willekeurige OS-commando's uitvoeren met de privileges van de gebruiker die de OpenOLAT applicatie draait. Dit kan resulteren in data-exfiltratie, systeemcompromittering, en verdere aanval op andere systemen binnen het netwerk. De mogelijkheid om Java reflectie te gebruiken om willekeurige Java klassen te instantieren, verhoogt de ernst van de kwetsbaarheid aanzienlijk, vergelijkbaar met de complexiteit die soms gezien wordt bij server-side template injection kwetsbaarheden.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-03-30. Er is momenteel geen informatie beschikbaar over actieve exploits in de wild, maar de publicatie van de details maakt het een aantrekkelijk doelwit voor aanvallers. De CVSS score van 8.8 (HIGH) duidt op een significant risico. Er zijn geen KEV vermeldingen bekend op het moment van schrijven.
Organizations and institutions utilizing OpenOLAT for e-learning and training are at risk, particularly those running vulnerable versions (≤ 20.2.5). Environments where the Author role has broad permissions and access to email template modification are especially susceptible. Shared hosting environments running OpenOLAT should be carefully assessed for potential cross-tenant impact.
• java / server:
ps aux | grep -i openolat• java / server:
journalctl -u openolat | grep -i "Velocity"• generic web:
curl -I https://<your_openolat_url>/ | grep -i "OpenOLAT"disclosure
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-28228 is het upgraden van OpenOLAT naar een beveiligde versie (19.1.31, 20.1.18, of 20.2.5 of hoger). Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de Author rol tot vertrouwde gebruikers en het zorgvuldig controleren van alle reminder e-mail templates op verdachte code. Implementeer een Web Application Firewall (WAF) met regels die Velocity directive injectie detecteren en blokkeren. Controleer OpenOLAT logs op ongebruikelijke patronen die wijzen op pogingen tot exploitatie.
Update OpenOLAT naar versie 19.1.31, 20.1.18 of 20.2.5, of een latere versie. Dit corrigeert de Server-Side Template Injection kwetsbaarheid in Velocity templates.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-28228 is a Remote Code Execution vulnerability in OpenOLAT e-learning platform, allowing attackers to execute commands on the server.
You are affected if you are running OpenOLAT versions 19.1.31, 20.1.18, or 20.2.5 or earlier. Check your version and upgrade immediately.
Upgrade OpenOLAT to version 19.1.31, 20.1.18, or 20.2.5 or later. Consider restricting Author role permissions as a temporary workaround.
There is no confirmed active exploitation as of the last update, but the vulnerability's potential impact warrants immediate attention and patching.
Refer to the OpenOLAT security advisories page for the latest information and official announcements regarding CVE-2026-28228.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.