Plataforma
php
Componente
chamilo-lms
Corrigido em
1.11.35
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no Chamilo LMS, um sistema de gerenciamento de aprendizagem. Essa falha permite que um atacante exclua projetos dentro de um curso sem o consentimento do usuário. A vulnerabilidade ocorre devido à falta de proteções anti-CSRF (tokens) em ações sensíveis, como a exclusão de projetos, especialmente em requisições baseadas em GET. A versão 1.11.34 corrige essa falha.
Um atacante pode explorar essa vulnerabilidade para induzir um usuário autenticado (com permissão de Trainer) a executar ações indesejadas, como a exclusão de projetos importantes em um curso. Isso pode resultar na perda de dados, interrupção do aprendizado e comprometimento da integridade do curso. A exploração bem-sucedida requer que o atacante consiga enganar o usuário para visitar uma página maliciosa, o que pode ser feito através de phishing ou outras técnicas de engenharia social. O impacto é significativo, pois a exclusão de projetos pode ter consequências diretas para o processo de aprendizado e para a organização do conteúdo do curso.
A vulnerabilidade foi publicada em 2026-03-06. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV da CISA. A ausência de um Proof of Concept (PoC) público sugere um risco de exploração relativamente baixo no momento, mas a natureza inerente do CSRF significa que a exploração é sempre possível se um atacante conseguir enganar um usuário.
Educational institutions and organizations utilizing Chamilo LMS are at risk, particularly those running versions prior to 1.11.34. Organizations with a large number of 'Trainer' accounts or those that allow users to easily share links to internal Chamilo resources are at higher risk. Shared hosting environments where multiple Chamilo instances reside on the same server could also be impacted.
• php / web: Examine access logs for GET requests to project deletion endpoints with suspicious referer headers.
grep 'project_delete.php' access.log | grep -i 'attacker.com'• php / web: Monitor Chamilo application logs for unusual project deletion events, particularly those associated with Trainer accounts. • generic web: Use curl to test for project deletion functionality via GET requests without CSRF tokens.
curl -v -X GET 'https://chamilo.example.com/project_delete.php?project_id=123' -H 'Referer: https://attacker.com'disclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o Chamilo LMS para a versão 1.11.34 ou superior, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de proteção CSRF adicionais, como a validação de referências de origem (Origin Header) em requisições sensíveis. Além disso, eduque os usuários sobre os riscos de phishing e a importância de verificar a URL antes de executar ações importantes. Após a atualização, confirme a correção verificando se as ações de exclusão de projetos agora requerem confirmação explícita do usuário.
Atualize o Chamilo LMS para a versão 1.11.34 ou superior. Esta versão contém a correção para a vulnerabilidade CSRF na exclusão de projetos. A atualização evitará que um atacante possa excluir projetos sem seu consentimento.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-59541 is a Cross-Site Request Forgery (CSRF) vulnerability in Chamilo LMS versions before 1.11.34, allowing attackers to delete projects without consent.
You are affected if you are using Chamilo LMS version 1.11.34 or earlier. Upgrade to the latest version to mitigate the risk.
Upgrade Chamilo LMS to version 1.11.34 or later. Consider implementing a WAF with CSRF protection as a temporary workaround.
There is no confirmed active exploitation of CVE-2025-59541 at this time, but the vulnerability is publicly known and could be targeted.
Refer to the official Chamilo security advisory for CVE-2025-59541 on the Chamilo website (check their security announcements page).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.