PT-2025-35789 · Unknown · Chamilo Lms

Publicado

2025-04-01

·

Atualizado

2026-03-07

·

CVE-2025-50190

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Versões do Chamilo LMS anteriores à 1.11.30
Descrição Existe uma falha no módulo de autenticação do sistema OpenID do Chamilo LMS devido à falta de validação de sequências de objetos XML. A exploração bem-sucedida pode permitir que um atacante remoto execute consultas SQL arbitrárias. O problema está relacionado à injeção de SQL baseada em erro por meio do parâmetro GET openid.assoc handle no script /index.php.
Recomendações Atualize para a versão 1.11.30 ou posterior.

Exploit

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

BDU:2025-06903
CVE-2025-50190
GHSA-5296-JXRR-PFWJ

Produtos afetados

Chamilo Lms