CRITICAL🇬🇧 English

CVE-2026-28430

Niezauwytoryzowany SQL injection w Chamilo LMS — przejęcie konta administratora

CVSS 9.3v4.0pub. 2026-03-16upd. 2026-03-17

Chamilo LMS w wersjach przed 1.11.34 zawiera podatność SQL injection dostępną bez uwierzytelnienia, pozwalającą atakującemu na wykonanie dowolnych poleceń SQL za pośrednictwem parametru custom_dates. W połączeniu z przewidywalnym mechanizmem resetowania hasła podatność umożliwia pełne przejęcie konta administratora bez posiadania jakichkolwiek poświadczeń.

Pokaż oryginał (EN)

Chamilo LMS is a learning management system. Prior to version 1.11.34, there is an unauthenticated SQL injection vulnerability which allows remote attackers to execute arbitrary SQL commands via the custom_dates parameter. By chaining this with a predictable legacy password reset mechanism, an attacker can achieve full administrative account takeover without any prior credentials. The vulnerability also exposes the entire database, including PII and system configurations. This issue has been patched in version 1.11.34.

🤖 Analiza AI
Jak działa

Atakujący wysyła spreparowane żądanie HTTP zawierające złośliwy payload w parametrze custom_dates, który nie jest odpowiednio walidowany ani parametryzowany przez aplikację — co jest charakterystyczne dla CWE-89 (SQL injection). Wstrzyknięte polecenia SQL wykonywane są bezpośrednio na bazie danych. Łącząc tę podatność z przewidywalnym mechanizmem resetowania hasła (legacy password reset), atakujący może bez żadnych wstępnych poświadczeń przejąć pełną kontrolę nad kontem administratora.

Skutki

Atakujący uzyskuje nieautoryzowany dostęp do całej bazy danych, w tym danych osobowych (PII) użytkowników i konfiguracji systemowych, a poprzez chain exploit może przejąć pełną kontrolę administracyjną nad platformą Chamilo LMS.

Mitygacja

Należy zaktualizować Chamilo LMS do wersji 1.11.34, w której podatność została naprawiona. Szczegóły dostępne w oficjalnych referencjach producenta: https://github.com/chamilo/chamilo-lms/releases/tag/v1.11.34

Kogo dotyczy

Chamilo LMS w wersjach przed 1.11.34

Uwagi

Podatność umożliwia atak łańcuchowy (chaining): SQL injection + przewidywalny mechanizm resetowania hasła, co prowadzi do pełnego przejęcia konta administratora bez żadnych wstępnych poświadczeń. Szczegółowe informacje dostępne w security advisory GHSA-84gw-qjw9-v8jv na GitHub.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Chamilo Lms

    APP
    Chamilo
    < 1.11.34
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2026-33707CRITICAL9.4PL ✓ten sam produkt

Chamilo LMS — przewidywalny token resetowania hasła (CWE-640)

CVE-2026-32892CRITICAL9.1PL ✓ten sam produkt

OS Command Injection w Chamilo LMS — funkcja przenoszenia plików

CVE-2026-33698CRITICAL9.3PL ✓ten sam produkt

Chamilo LMS: ominięcie uwierzytelnienia i modyfikacja plików przez katalog install

CVE-2025-59542CRITICAL9.0PL ✓ten sam produkt

Stored XSS w Chamilo LMS — przejęcie kont wyżej uprzywilejowanych użytkowników

CVE-2025-59543CRITICAL9.0PL ✓ten sam produkt

Stored XSS w Chamilo LMS umożliwiający przejęcie kont administratorów