Plataforma
php
Componente
chamilo-lms
Corrigido em
1.11.1
CVE-2025-66447 describes an open redirect vulnerability discovered in Chamilo LMS. This flaw allows an attacker to redirect users to arbitrary URLs via the redirect parameter in the /login endpoint. The vulnerability affects versions 1.11.0 and later up to, but not including, 2.0-RC.3. A fix is available in version 2.0-beta.2.
A vulnerabilidade CVE-2025-66447 no Chamilo LMS permite que um atacante redirecione usuários para sites maliciosos através da manipulação do parâmetro 'redirect' na URL de login (/login). Isso pode resultar no roubo de credenciais, propagação de malware ou falsificação de identidade. O risco é particularmente alto para instituições de ensino e organizações que utilizam o Chamilo LMS, pois os usuários podem ser enganados para inserir seus nomes de usuário e senhas em sites falsos que imitam a aparência da plataforma de aprendizado. A vulnerabilidade afeta as versões do Chamilo LMS de 1.11.0 até a 2.0-beta.1.
Um atacante pode criar uma URL maliciosa que contenha o parâmetro 'redirect' configurado para redirecionar para um site controlado pelo atacante. Ao enviar esta URL para um usuário, por exemplo, através de um e-mail de phishing, o usuário pode ser enganado para clicar no link e ser redirecionado para o site malicioso. A facilidade de exploração reside na simples manipulação da URL, sem a necessidade de autenticação prévia. A falta de validação do parâmetro 'redirect' nas versões vulneráveis permite essa manipulação.
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A solução para esta vulnerabilidade é atualizar o Chamilo LMS para a versão 2.0-beta.2 ou posterior. Esta versão inclui uma correção que valida e higieniza o parâmetro 'redirect' na URL de login, prevenindo o redirecionamento não autorizado. Recomenda-se fortemente aplicar esta atualização o mais rápido possível para proteger seu sistema e seus usuários. Além disso, recomenda-se revisar os logs do servidor em busca de tentativas de exploração desta vulnerabilidade e educar os usuários sobre os riscos de phishing e URLs suspeitas.
Actualice Chamilo LMS a la versión 2.0-beta.2 o posterior para mitigar la vulnerabilidad de redirección sin validación en la página de inicio de sesión. Esta actualización corrige el problema al validar correctamente la URL de destino antes de realizar la redirección.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Chamilo LMS é um sistema de gerenciamento de aprendizagem (LMS) de código aberto usado por instituições de ensino e organizações para gerenciar cursos online e recursos de aprendizagem.
Se você estiver usando uma versão do Chamilo LMS entre 1.11.0 e 2.0-beta.1, sua instalação é vulnerável. Verifique a versão da sua instalação na configuração do sistema.
Se você suspeitar que seu sistema foi comprometido, altere imediatamente as senhas de todos os usuários, revise os logs do servidor em busca de atividades suspeitas e considere realizar uma auditoria de segurança completa.
Não existe uma solução alternativa viável sem atualizar para a versão 2.0-beta.2 ou posterior. A validação do parâmetro 'redirect' é essencial para prevenir a exploração.
Você pode encontrar mais informações sobre esta vulnerabilidade em bancos de dados de vulnerabilidades como o CVE (Common Vulnerabilities and Exposures) e na documentação oficial do Chamilo LMS.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.