Plataforma
php
Componente
chamilo-lms
Corrigido em
1.11.35
Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada foi descoberta no Chamilo LMS. Essa falha permite que um atacante, mesmo com um nível de acesso limitado (como treinador), injete código JavaScript malicioso na descrição de um curso. A execução desse código em páginas visualizadas por outros usuários, incluindo administradores, pode resultar em roubo de informações sensíveis e, consequentemente, em comprometimento de contas.
O impacto desta vulnerabilidade é significativo, pois permite a execução de código JavaScript arbitrário no navegador de qualquer usuário que visualize a página do curso comprometida. Um atacante pode explorar essa falha para roubar cookies de sessão ou tokens de autenticação, permitindo o acesso não autorizado a contas de usuários com privilégios mais elevados, como administradores. Isso pode levar à manipulação de dados, acesso a informações confidenciais e, em última análise, ao comprometimento completo do sistema Chamilo LMS. A exploração bem-sucedida pode resultar em uma violação de dados em larga escala e interrupção das operações de aprendizado.
A vulnerabilidade foi divulgada em 2026-03-06. Não há relatos públicos de exploração ativa no momento. A pontuação CVSS de 9.1 (CRÍTICO) indica um alto risco de exploração. A ausência de um KEV listing sugere que a vulnerabilidade ainda não foi considerada uma ameaça iminente, mas a gravidade da falha justifica uma atenção imediata.
Organizations using Chamilo LMS, particularly those with trainer roles that have the ability to modify course descriptions, are at risk. Shared hosting environments where multiple users have access to the same Chamilo instance are also particularly vulnerable, as a compromised trainer account could impact all users on the server.
• php: Examine Chamilo LMS logs for unusual JavaScript execution patterns or suspicious activity related to course description modifications.
grep -i 'javascript:' /var/log/chamilo/error.log• generic web: Check course description fields for injected JavaScript code using curl or wget.
curl 'https://your-chamilo-instance.com/course/view.php?id=123' | grep '<script>' • generic web: Review access logs for requests containing suspicious URL parameters or POST data related to course creation or modification.
disclosure
Status do Exploit
EPSS
0.04% (percentil 13%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão 1.11.34 do Chamilo LMS, que inclui a correção para a falha XSS. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a validação e sanitização rigorosas de todas as entradas de usuário, especialmente aquelas relacionadas à descrição do curso. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns também pode ajudar a reduzir o risco. Monitore os logs do servidor em busca de atividades suspeitas, como tentativas de injeção de código JavaScript.
Atualize o Chamilo LMS para a versão 1.11.34 ou superior. Esta versão corrige a vulnerabilidade XSS armazenado na descrição do curso, evitando a possível tomada de controle de contas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-59543 is a critical stored cross-site scripting (XSS) vulnerability in Chamilo LMS versions prior to 1.11.34, allowing attackers to inject malicious JavaScript.
You are affected if you are using Chamilo LMS version 1.11.34 or earlier. Upgrade to 1.11.34 to resolve the vulnerability.
Upgrade Chamilo LMS to version 1.11.34. Consider input validation and WAF rules as temporary mitigations.
There is no current evidence of active exploitation, but the vulnerability's criticality warrants immediate action.
Refer to the official Chamilo security advisory for detailed information and updates: [https://www.chamilo.org/en/security-advisories](https://www.chamilo.org/en/security-advisories)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.