← volver
CVE-2026-32892

OS Command Injection in Chamilo LMS 1.11.36

CVSS 9.1 CRITICALEPSS 1.5%CWE-78
En resumen

Chamilo LMS permite que usuarios autenticados ejecuten comandos arbitrarios del sistema al mover documentos con nombres de carpetas que contienen metacaracteres del shell. El problema ocurre porque la función de movimiento de archivos no sanitiza adecuadamente la entrada del usuario antes de pasarla a comandos del sistema.

Detalle técnico

Inyección de Comando OS en la función move() de fileManage.lib.php: valores de ruta controlados por el usuario del parámetro POST move_to se pasan directamente a comandos exec() sin escapado mediante escapeshellarg(). La explotación requiere autenticación y rol de profesor en un curso (conseguible por defecto mediante allow_users_to_create_courses), con nombres de directorio controlables por el atacante en el sistema de archivos (vía Course Backup Import). Impacto: ejecución arbitraria de comandos como el usuario del servidor web (www-data).

Resumen generado y traducido por IA a partir de la descripción oficial.
Chamilo LMS is a learning management system. Prior to 1.11.38 and 2.0.0-RC.3, Chamilo LMS contains an OS Command Injection vulnerability in the file move function. The move() function in fileManage.lib.php passes user-controlled path values directly into exec() shell commands without using escapeshellarg(). When a user moves a document via document.php, the move_to POST parameter — which only passes through Security::remove_XSS() (an HTML-only filter) — is concatenated directly into shell commands such as exec("mv $source $target"). By default, Chamilo allows all authenticated users to create courses (allow_users_to_create_courses = true). Any user who is a teacher in a course (including self-created courses) can move documents, making this vulnerability exploitable by any authenticated user. The attacker must first place a directory with shell metacharacters in its name on the filesystem (achievable via Course Backup Import), then move a document into that directory to trigger arbitrary command execution as the web server user (www-data). This vulnerability is fixed in 1.11.38 and 2.0.0-RC.3.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Productos afectados
chamilo · chamilo-lms

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/chamilo/chamilo-lms/commit/3597b19b73d73d681e4fb503285e9bbfe71714bfhttps://github.com/chamilo/chamilo-lms/commit/62671e5e268f235cddfba704edee90f35c234df1https://github.com/chamilo/chamilo-lms/security/advisories/GHSA-59cv-qh65-vvrr