anonhaven

CVE-2026-32893

MEDIUM CVSS 3.1: 5,4 EPSS 0.03%
Обновлено 17 апреля 2026
Chamilo
Параметр Значение
CVSS 5,4 (MEDIUM)
Устранено в версии 2.0.0
Тип уязвимости CWE-79 (Межсайтовый скриптинг (XSS))
Поставщик Chamilo
Публичный эксплойт Нет

Chamilo LMS — это система управления обучением. До версии 2.0.0-RC.3 уязвимость отраженного межсайтового сценария (XSS) в панели администратора списка вопросов для упражнений позволяла злоумышленнику выполнить произвольный JavaScript в браузере аутентифицированного учителя. Код нумерации страниц объединяет все параметры $_GET с помощью array_merge() и выводит результат с помощью http_build_query() непосредственно в атрибуты HTML href без кодирования htmlspecialchars().

Эта уязвимость исправлена ​​в версии 2.0.0-RC.3.

Показать оригинальное описание (EN)

Chamilo LMS is a learning management system. Prior to 2.0.0-RC.3, a Reflected Cross-Site Scripting (XSS) vulnerability in the exercise question list admin panel allows an attacker to execute arbitrary JavaScript in an authenticated teacher's browser. The pagination code merges all $_GET parameters via array_merge() and outputs the result via http_build_query() directly into HTML href attributes without htmlspecialchars() encoding. This vulnerability is fixed in 2.0.0-RC.3.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Требуется
Нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-79 Cross-Site Scripting (XSS) (Межсайтовый скриптинг (XSS))

Уязвимые продукты 10

Конфигурация От (включительно) До (исключительно)
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:alpha1:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:alpha2:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:alpha3:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:alpha4:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:alpha5:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:beta1:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:beta2:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:beta3:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:rc1:*:*:*:*:*:*
Chamilo Chamilo_Lms
cpe:2.3:a:chamilo:chamilo_lms:2.0.0:rc2:*:*:*:*:*:*

Ссылки 2

https://github.com/chamilo/chamilo-lms/commit/72bc403f89b1ebb73a139f8f6cf047885…
security-advisories@github.com
https://github.com/chamilo/chamilo-lms/security/advisories/GHSA-37jh-g64j-88mc
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-33737

Chamilo

6,5

CVE-2026-33736

Chamilo

6,5

CVE-2026-33710

Chamilo

7,5

CVE-2026-33708

Chamilo

6,5

CVE-2026-33707

Chamilo

9,8