Plataforma
php
Componente
chamilo-lms
Corrigido em
1.11.35
Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada foi descoberta no Chamilo LMS. Essa falha permite que um atacante injete código JavaScript malicioso nas configurações do caminho de aprendizado de um curso. A exploração bem-sucedida pode resultar na execução de scripts arbitrários no navegador de outros usuários, incluindo administradores, comprometendo a segurança do sistema e potencialmente levando à tomada de conta de contas privilegiadas. A vulnerabilidade afeta versões do Chamilo LMS anteriores à 1.11.34 e foi corrigida nesta versão.
O impacto desta vulnerabilidade é significativo, pois permite que um atacante com acesso limitado (como um treinador) execute código JavaScript arbitrário no contexto de outros usuários. Isso pode ser explorado para roubar cookies de sessão ou tokens de autenticação, permitindo que o atacante assuma a identidade de usuários mais privilegiados, como administradores. A tomada de conta de uma conta de administrador concede ao atacante controle total sobre o sistema Chamilo LMS, incluindo acesso a dados confidenciais dos alunos, capacidade de modificar o conteúdo do curso e potencialmente comprometer outros sistemas integrados. A exploração bem-sucedida pode levar a uma violação de dados em larga escala e interrupção das operações de aprendizado.
A vulnerabilidade foi divulgada em 2026-03-06. Não há informações disponíveis sobre exploração ativa ou a inclusão desta CVE no KEV. A ausência de um Proof of Concept (PoC) publicamente disponível sugere que a exploração pode ser complexa ou que a vulnerabilidade ainda não foi amplamente explorada. A avaliação de risco é considerada moderada devido à sua criticidade e potencial impacto.
Organizations utilizing Chamilo LMS, particularly those with trainers or other low-privileged users who have the ability to modify course learning paths, are at risk. Environments with legacy Chamilo installations or those lacking robust security monitoring practices are especially vulnerable.
• php / web:
grep -r 'learning path Settings field' /var/www/html/chamilo/• generic web:
curl -I 'https://your-chamilo-instance/course/view.php?id=123' | grep -i 'content-type: application/javascript'• generic web:
curl 'https://your-chamilo-instance/course/view.php?id=123' | grep -o '<script.*?>.*?</script>'disclosure
Status do Exploit
EPSS
0.04% (percentil 13%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o Chamilo LMS para a versão 1.11.34 ou superior, que inclui a correção. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a validação e sanitização rigorosas de todas as entradas do usuário, especialmente aquelas relacionadas às configurações do caminho de aprendizado. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns pode fornecer uma camada adicional de proteção. Monitore os logs do servidor em busca de atividades suspeitas, como tentativas de injeção de JavaScript. Após a atualização, confirme a correção verificando se a injeção de JavaScript nas configurações do caminho de aprendizado não é mais possível.
Atualize o Chamilo LMS para a versão 1.11.34 ou superior. Esta versão contém uma correção para a vulnerabilidade XSS armazenado nos caminhos de aprendizagem dos cursos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-59542 is a stored cross-site scripting (XSS) vulnerability in Chamilo LMS versions prior to 1.11.34, allowing attackers to inject malicious JavaScript.
You are affected if you are running Chamilo LMS version 1.11.34 or earlier. Upgrade to version 1.11.34 to mitigate the risk.
Upgrade Chamilo LMS to version 1.11.34 or later. Back up your installation before upgrading.
There are currently no publicly known active exploitation campaigns, but the vulnerability's impact suggests it could become a target.
Refer to the official Chamilo security advisory for details and further guidance: [https://www.chamilo.org/en/security-advisories](https://www.chamilo.org/en/security-advisories)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.