Chamilo — это система управления обучением. До версии 1.11.34 в Chamilo LMS существовала сохраненная уязвимость XSS, которая позволяла учетной записи сотрудника выполнять произвольный JavaScript в браузере пользователей с более высоким уровнем привилегий администратора. Проблема возникает из-за того, что входные данные обратной связи на странице истории упражнений не кодируются должным образом перед отрисовкой, что позволяет вредоносным сценариям сохраняться в базе данных и выполняться при просмотре.
Эта проблема исправлена в версии 1.11.34.
Показать оригинальное описание (EN)
Chamilo is a learning management system. Prior to version 1.11.34, a stored XSS vulnerability exists in Chamilo LMS that allows a staff account to execute arbitrary JavaScript in the browser of higher-privileged admin users. The issue arises because feedback input in the exercise history page is not properly encoded before rendering, allowing malicious scripts to persist in the database and execute on view. This issue has been patched in version 1.11.34.
Характеристики атаки
Последствия
Строка CVSS v4.0