PT-2021-3536 · Chamilo · Chamilo
Andrejspuler
·
Publicado
2021-05-13
·
Atualizado
2022-05-16
·
CVE-2021-32925
CVSS v2.0
9.4
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões 1.11.x do Chamilo
Descrição
O problema está relacionado ao arquivo
admin/user import.php no Chamilo, que lê dados XML sem desativar adequadamente a capacidade de carregar entidades externas. Isso pode levar a um ataque XXE (XML External Entity), permitindo potencialmente que um invasor remoto divulgue informações protegidas.Recomendações
Para as versões 1.11.x do Chamilo, considere desativar o arquivo
admin/user import.php ou restringir seu acesso para minimizar o risco de exploração até que um patch esteja disponível. Como solução temporária, evite usar o arquivo admin/user import.php para importação de dados XML até que o problema seja resolvido.Exploit
Correção
XXE
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Chamilo