CVE-2025-50197

Chamilo: OS Command Injection in /main/admin/sub_language_ajax.inc.php via POST new_language parameter

CVSS 7.1 HIGHEPSS 2.7%CWE-78

En resumen

Chamilo, un sistema de gestión del aprendizaje, tiene una vulnerabilidad que permite a los atacantes ejecutar comandos peligrosos del sistema en el servidor a través de la página de configuración de idiomas. Esto ocurre porque la entrada del usuario no se verifica adecuadamente antes de ser ejecutada.

Detalle técnico

Inyección de comandos del sistema operativo en /main/admin/sub_language_ajax.inc.php donde el parámetro POST 'new_language' se pasa sin sanitización a la ejecución de comandos del sistema. Un atacante autenticado puede inyectar metacaracteres de shell para lograr ejecución remota de código con privilegios del servidor. Corregido en la versión 1.11.30.

Resumen generado y traducido por IA a partir de la descripción oficial.

Chamilo is a learning management system. Prior to version 1.11.30, there is an OS Command Injection vulnerability in /main/admin/sub_language_ajax.inc.php via the POST new_language parameter. This issue has been patched in version 1.11.30.

CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N

Productos afectados

chamilo · chamilo-lms

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/chamilo/chamilo-lms/commit/e1c7879d63172cd7e5e47c9a03ade0e32023e134 https://github.com/chamilo/chamilo-lms/releases/tag/v1.11.30 https://github.com/chamilo/chamilo-lms/security/advisories/GHSA-m76m-95c9-6h7r