Platform
php
Component
chamilo-lms
Opgelost in
1.11.39
CVE-2026-31939 beschrijft een Path Traversal kwetsbaarheid in Chamilo LMS. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden te verwijderen op het systeem. De kwetsbaarheid treedt op in versies 1.11.0 tot en met 1.11.37 van Chamilo LMS. Een fix is beschikbaar in versie 1.11.38.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan leiden tot ernstige gevolgen. Een aanvaller kan gevoelige systeembestanden verwijderen, waardoor de functionaliteit van de Chamilo LMS wordt aangetast of zelfs het systeem onbruikbaar wordt. Afhankelijk van de rechten van de gebruiker die de kwetsbaarheid misbruikt, kan de impact zich uitstrekken tot andere delen van de server. Het verwijderen van cruciale configuratiebestanden kan leiden tot dataverlies of een compromittering van de gehele leeromgeving. Deze kwetsbaarheid is vergelijkbaar met andere Path Traversal exploits waarbij onvoldoende validatie van gebruikersinvoer leidt tot ongeautoriseerde toegang tot het bestandssysteem.
CVE-2026-31939 is openbaar bekend en de fix is beschikbaar. Er is geen informatie over actieve exploits of campagnes bekend op het moment van publicatie. De kwetsbaarheid is opgenomen in het CISA KEV catalogus. Er zijn publieke proof-of-concept exploits beschikbaar, wat het risico op misbruik vergroot.
Organizations and institutions utilizing Chamilo LMS versions 1.11.0 through 1.11.37 are at risk. This includes educational institutions, training providers, and any entity relying on Chamilo LMS for learning management purposes. Shared hosting environments running vulnerable Chamilo LMS installations are particularly vulnerable due to the potential for cross-tenant exploitation.
• php: Examine web server access logs for requests to main/exercise/savescores.php containing path traversal sequences (e.g., ../..).
• php: Monitor file system activity for unexpected file deletions within the Chamilo LMS installation directory.
• generic web: Use curl to test the main/exercise/savescores.php endpoint with a crafted payload like curl 'http://your-chamilo-instance/main/exercise/savescores.php?test=../../../../etc/passwd' to check for file access outside the intended directory.
disclosure
Exploit Status
EPSS
0.05% (14% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-31939 is het upgraden van Chamilo LMS naar versie 1.11.38 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de gebruiker die toegang heeft tot de savescores.php pagina. Implementeer een Web Application Firewall (WAF) met regels die pogingen tot path traversal detecteren en blokkeren. Controleer de toegang tot de savescores.php pagina en beperk deze tot geautoriseerde gebruikers. Na de upgrade, controleer de logbestanden op verdachte activiteit en bevestig dat de kwetsbaarheid is verholpen door te proberen de kwetsbare endpoint te exploiteren.
Actualice Chamilo LMS a la versión 1.11.38 o posterior para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización corrige la concatenación insegura de la entrada del usuario en la ruta del sistema de archivos, previniendo la eliminación arbitraria de archivos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-31939 is a Path Traversal vulnerability in Chamilo LMS versions 1.11.0 through 1.11.37, allowing attackers to potentially delete files. It's rated HIGH severity (CVSS: 8.3).
You are affected if you are running Chamilo LMS versions 1.11.0 through 1.11.37. Upgrade to 1.11.38 to mitigate the risk.
Upgrade Chamilo LMS to version 1.11.38. As a temporary workaround, implement WAF rules or input validation to prevent path traversal.
There is no current evidence of active exploitation, but the vulnerability's nature makes it easily exploitable.
Refer to the official Chamilo LMS security advisories on their website for the latest information and updates regarding CVE-2026-31939.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.