CVE-2025-50187
Chamilo: Evaluation of untrusted user input leads to Remote Code Execution
En resumen
Chamilo, una plataforma de aprendizaje en línea, permite que atacantes ejecuten código arbitrario en el servidor mediante solicitudes SOAP sin filtrar. Es crítico porque los atacantes pueden controlar completamente el sistema y acceder a todos los datos educativos almacenados.
Detalle técnico
Vulnerabilidad CWE-95 de inyección de código en el manejador de solicitudes SOAP de Chamilo anterior a v1.11.28 permite ejecución remota de código no autenticada mediante evaluación de parámetros sin sanitizar. El vector de ataque es a través de la red en endpoints SOAP sin autenticación requerida. La explotación exitosa otorga ejecución de código arbitrario con privilegios del servidor.
Resumen generado y traducido por IA a partir de la descripción oficial.
Chamilo is a learning management system. Prior to version 1.11.28, parameter from SOAP request is evaluated without filtering which leads to Remote Code Execution. This issue has been patched in version 1.11.28.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
chamilo · chamilo-lms¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →