Podatność w Chamilo LMS (wersje do 1.11.20 włącznie) na instalacjach Windows z Apache pozwala nieuwierzytelnionemu atakującemu ominąć zabezpieczenia przesyłania plików poprzez upload pliku `.htaccess`. Skutkuje to możliwością zdalnego wykonania kodu (RCE) bez jakiegokolwiek logowania.
▸ Pokaż oryginał (EN)
Improper sanitisation in `main/inc/lib/fileUpload.lib.php` in Chamilo LMS <= v1.11.20 on Windows and Apache installations allows unauthenticated attackers to bypass file upload security protections and obtain remote code execution via uploading of `.htaccess` file. This vulnerability may be exploited by privileged attackers or chained with unauthenticated arbitrary file write vulnerabilities, such as CVE-2023-3533, to achieve remote code execution.
Luka wynika z nieprawidłowej sanityzacji nazw plików w module `main/inc/lib/fileUpload.lib.php`. Atakujący może przesłać plik o nazwie `.htaccess`, którego mechanizm filtrowania nie odrzuca właściwie na platformie Windows z serwerem Apache. Umieszczony plik `.htaccess` pozwala zmodyfikować konfigurację serwera w danym katalogu, co umożliwia wykonanie złośliwego kodu po stronie serwera. Podatność może być również użyta jako element łańcucha ataków w połączeniu z luką CVE-2023-3533 (nieuprawniony zapis dowolnych plików) w celu uzyskania pełnego RCE.
Atakujący może uzyskać zdalne wykonanie kodu (RCE) na serwerze, co prowadzi do pełnego przejęcia kontroli nad aplikacją i potencjalnie całym systemem, w tym naruszenia poufności, integralności i dostępności danych.
Należy zaktualizować Chamilo LMS do wersji zawierającej poprawkę dostępną w commicie dc7bfce429fbd843a95a57c184b6992c4d709549. Szczegółowe informacje o patchu dostępne są w referencjach producenta oraz w repozytorium GitHub projektu.
Chamilo LMS w wersjach do 1.11.20 włącznie, działający na środowiskach Windows z serwerem Apache
Podatność dotyczy wyłącznie instalacji na platformie Windows w połączeniu z serwerem Apache – specyfika obsługi nazw plików na Windows sprawia, że filtrowanie pliku `.htaccess` jest nieskuteczne. Podatność może być łączona z CVE-2023-3533 w celu eskalacji do pełnego RCE nawet bez uprawnień administracyjnych.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HChamilo
APPChamilo≤ 1.11.20
Powiązane podatności
Command injection w Chamilo LMS umożliwiający RCE bez uwierzytelnienia
Path Traversal i RCE w Chamilo LMS — nieuwierzytelniony zapis pliku
A command injection vulnerability in the wsConvertPpt component of Chamilo v1.11.* up to v1.11.18 allows attac...
main/inc/ajax/model.ajax.php in Chamilo through 1.11.14 allows SQL Injection via the searchField, filters, or ...
Chamilo 1.11.16 is affected by an authenticated local file inclusion vulnerability which allows authenticated ...