Podatność path traversal w funkcji przesyłania plików w Chamilo LMS w wersji do 1.11.20 umożliwia nieuwierzytelnionym atakującym zapis dowolnych plików na serwerze. Prowadzi to bezpośrednio do uzyskania zdalnego wykonania kodu (RCE) oraz przeprowadzenia ataków stored XSS.
▸ Pokaż oryginał (EN)
Path traversal in file upload functionality in `/main/webservices/additional_webservices.php` in Chamilo LMS <= v1.11.20 allows unauthenticated attackers to perform stored cross-site scripting attacks and obtain remote code execution via arbitrary file write.
Plik `/main/webservices/additional_webservices.php` nie wymaga uwierzytelnienia i nie filtruje poprawnie ścieżek przekazywanych podczas przesyłania plików. Atakujący może skonstruować żądanie zawierające sekwencje path traversal (np. `../`), co pozwala na zapis pliku w dowolnym miejscu dostępnym dla procesu serwera WWW. Umieszczając w ten sposób plik wykonywalny (np. webshell) poza przeznaczonym katalogiem, atakujący uzyskuje możliwość jego wywołania przez przeglądarkę i tym samym zdalne wykonanie kodu na serwerze.
Nieuwierzytelniony atakujący może uzyskać pełną kontrolę nad serwerem poprzez RCE, a także przeprowadzić ataki stored XSS na użytkowników aplikacji poprzez zapis złośliwych plików w dostępnych lokalizacjach webowych.
Należy zaktualizować Chamilo LMS do wersji zawierającej poprawkę dostępną w commicie 37be9ce7243a30259047dd4517c48ff8b21d657a. Szczegóły patcha dostępne są w referencjach producenta (support.chamilo.org oraz GitHub). Jako doraźny środek należy rozważyć ograniczenie dostępu do pliku `/main/webservices/additional_webservices.php` na poziomie konfiguracji serwera WWW lub firewalla aplikacyjnego.
Chamilo LMS w wersji 1.11.20 i wcześniejszych.
Podatność opisana w poradniku bezpieczeństwa Star Labs (starlabs.sg). Producent sklasyfikował problem jako CVE o krytycznym wpływie i wysokim ryzyku, opublikowany w wiki bezpieczeństwa Chamilo pod numerem Issue-124 z datą 2023-07-13.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HChamilo
APPChamilo≤ 1.11.20
Powiązane podatności
Command injection w Chamilo LMS umożliwiający RCE bez uwierzytelnienia
Chamilo LMS – ominięcie ochrony upload plików i RCE przez .htaccess
A command injection vulnerability in the wsConvertPpt component of Chamilo v1.11.* up to v1.11.18 allows attac...
main/inc/ajax/model.ajax.php in Chamilo through 1.11.14 allows SQL Injection via the searchField, filters, or ...
Chamilo 1.11.16 is affected by an authenticated local file inclusion vulnerability which allows authenticated ...