CVE-2025-50194

Chamilo: OS Command Injection in /main/cron/lang/check_parse_lang.php

CVSS 7.1 HIGHEPSS 2.6%CWE-78

En resumen

Chamilo, un sistema de gestión del aprendizaje, tiene una vulnerabilidad en su herramienta de verificación de idiomas que permite a atacantes ejecutar comandos dañinos en el servidor. Esto puede conducir al compromiso total del servidor si no se corrige.

Detalle técnico

Existe una vulnerabilidad de inyección de comandos del sistema operativo en /main/cron/lang/check_parse_lang.php anterior a la versión 1.11.30, permitiendo que atacantes ejecuten comandos arbitrarios del sistema a través de entrada no sanitizada. El vector de ataque requiere acceso al endpoint de cron, potencialmente habilitando ejecución remota de código con privilegios del servidor.

Resumen generado y traducido por IA a partir de la descripción oficial.

Chamilo is a learning management system. Prior to version 1.11.30, there is an OS Command Injection vulnerability in /main/cron/lang/check_parse_lang.php. This issue has been patched in version 1.11.30.

CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N

Productos afectados

chamilo · chamilo-lms

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/chamilo/chamilo-lms/commit/4d07349340543b9c913e76f8cb436a4570500ce2 https://github.com/chamilo/chamilo-lms/releases/tag/v1.11.30 https://github.com/chamilo/chamilo-lms/security/advisories/GHSA-xrr6-wv8p-5v3p