Chamilo — это система управления обучением (LMS) с открытым исходным кодом. Версия 2.0.0-RC.2 содержит уязвимость SQL-инъекции в конечной точке статистики AJAX, которая является неполным исправлением CVE-2026-30881. Хотя CVE-2026-30881 был исправлен путем применения Security::remove_XSS() к параметрам date_start и date_end в действии get_user_registration_by_month, те же параметры остаются необработанными в действии user_active в том же файле (public/main/inc/ajax/statistics.ajax.php), где они напрямую интерполируются в SQL-запрос.
Аутентифицированный администратор может использовать это для выполнения слепой инъекции SQL на основе времени, что позволяет извлекать произвольные данные из базы данных. Эта проблема исправлена в версии 2.0.0.
Показать оригинальное описание (EN)
Chamilo is an open-source learning management system (LMS). Version 2.0.0-RC.2 contains a SQL Injection vulnerability in the statistics AJAX endpoint, which is an incomplete fix for CVE-2026-30881. While CVE-2026-30881 was patched by applying Security::remove_XSS() to the date_start and date_end parameters in the get_user_registration_by_month action, the same parameters remain unsanitized in the users_active action within the same file (public/main/inc/ajax/statistics.ajax.php), where they are directly interpolated into a SQL query. An authenticated admin can exploit this to perform time-based blind SQL injection, enabling extraction of arbitrary data from the database. This issue has been fixed in version 2.0.0.
Характеристики атаки
Последствия
Строка CVSS v4.0