CVE-2025-50197
Chamilo: OS Command Injection in /main/admin/sub_language_ajax.inc.php via POST new_language parameter
Em resumo
O Chamilo, um sistema de gerenciamento de aprendizado, possui uma falha que permite que atacantes executem comandos perigosos no servidor através da página de configuração de idiomas. Isso ocorre porque a entrada do usuário não é verificada adequadamente antes de ser executada.
Detalhe técnico
Injeção de comando do sistema operacional em /main/admin/sub_language_ajax.inc.php onde o parâmetro POST 'new_language' é passado sem sanitização para execução de comando do sistema. Um atacante autenticado pode injetar metacaracteres de shell para alcançar execução remota de código com privilégios do servidor. Corrigido na versão 1.11.30.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Chamilo is a learning management system. Prior to version 1.11.30, there is an OS Command Injection vulnerability in /main/admin/sub_language_ajax.inc.php via the POST new_language parameter. This issue has been patched in version 1.11.30.
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N
Produtos afetados
chamilo · chamilo-lmsQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →