Chamilo — это система управления обучением. До версии 1.11.30 приложение выполняет недостаточную проверку данных, поступающих от пользователя из параметра значения GET, с помощью следующих скриптов: /plugin/vchamilo/views/syncparams.php и /plugin/vchamilo/ajax/service.php, что позволяет злоумышленнику выполнить атаку, направленную на изменение логики запроса к базе данных путем внедрения произвольных операторов SQL. Эта проблема исправлена в версии 1.11.30.
Показать оригинальное описание (EN)
Chamilo is a learning management system. Prior to version 1.11.30, the application performs insufficient validation of data coming from the user from the GET value parameter with the following scripts: /plugin/vchamilo/views/syncparams.php and /plugin/vchamilo/ajax/service.php, which allows an attacker to perform an attack aimed at modifying the database query logic by injecting an arbitrary SQL statements. This issue has been patched in version 1.11.30.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:*:*:*:*:*:*:*:*
|
— |
1.11.30
|