Chamilo LMS: PENS 插件中的未认证 SSRF 漏洞允许攻击者探测内部网络并访问云元数据服务

攻击者可以利用此 SSRF 漏洞探测 Chamilo LMS 内部网络，访问通常不可公开访问的服务。更严重的是，攻击者可以利用此漏洞访问云元数据端点，例如 169.254.169.254，从而窃取 IAM 凭据和敏感实例元数据。这可能导致对云基础设施的完全控制。类似于其他 SSRF 漏洞，此漏洞可能被用于绕过网络隔离，执行内部扫描，甚至与内部系统进行交互，从而扩大攻击范围。如果 Chamilo LMS 部署在共享主机环境中，则所有用户都可能受到影响。

Organizations utilizing Chamilo LMS, particularly those deploying it in cloud environments (AWS, Azure, GCP), are at significant risk. Shared hosting environments where multiple Chamilo instances reside on the same server are also vulnerable, as a compromise of one instance could potentially lead to the compromise of others. Legacy Chamilo installations that have not been regularly updated are especially susceptible.

• web: Use curl or wget to check if the pens.php endpoint is accessible without authentication and if the package-url parameter accepts arbitrary URLs.

curl -I http://your-chamilo-instance/public/plugin/Pens/pens.php?package-url=http://169.254.169.254/latest/meta-data/iam/security-credentials/admin

• generic web: Examine access and error logs for requests to pens.php with unusual or internal IP addresses in the package-url parameter. • php: Review the pens.php file for the absence of input validation on the package-url parameter.

1. 2026-04-14Disclosure

   disclosure

1. 已保留2026-03-25
2. 发布日期2026-04-14
3. 修改日期2026-04-15
4. EPSS 更新日期2026-04-22

最有效的缓解措施是立即将 Chamilo LMS 升级至 2.0.0-RC.3 或更高版本，该版本修复了此漏洞。如果无法立即升级，可以考虑以下临时缓解措施：首先，限制对 pens.php 端点的访问，仅允许授权用户访问。其次，配置 Web 应用防火墙 (WAF) 或代理服务器，以阻止包含内部 IP 地址或云元数据端点的请求。第三，审查 Chamilo LMS 的网络配置，确保内部服务受到适当的保护。升级后，请验证漏洞是否已成功修复，例如通过尝试使用无效的 package-url 参数访问内部服务。