PT-2021-3968 · Unknown · Chamilo Lms
Publicado
2021-08-10
·
Atualizado
2022-02-03
·
CVE-2021-37391
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Chamilo LMS versão 1.11.14
Descrição
A vulnerabilidade permite que um usuário sem privilégios envie uma mensagem de convite a outro usuário, como o administrador, por meio de
main/social/search.php e main/inc/lib/social.lib.php, potencialmente roubando cookies ou executando código arbitrário no lado da administração por meio de uma vulnerabilidade XSS armazenada no recurso de envio de convites da rede social. Isso pode ser explorado por um invasor remoto para executar código arbitrário.Recomendações
Para o Chamilo LMS versão 1.11.14, como solução temporária, considere desativar as funções
main/social/search.php e main/inc/lib/social.lib.php até que um patch esteja disponível. Restrinja o acesso ao recurso de envio de convites da rede social para minimizar o risco de exploração. Evite usar o recurso de envio de convites na rede social até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Chamilo Lms