CVE-2026-33618

Name of the Vulnerable Software and Affected Versions Chamilo LMS versões anteriores a 2.0.0-RC.3

Description Chamilo LMS, um sistema de gerenciamento de aprendizagem, possui uma falha onde o método PlatformConfigurationController::decodeSettingArray() usa a função eval() do PHP para processar configurações da plataforma recuperadas do banco de dados. Um invasor com privilégios de administrador pode injetar código PHP arbitrário nessas configurações. Este código injetado é então executado quando qualquer usuário, mesmo não autenticado, acessa o endpoint da API '/platform-config/list'. Isso permite a execução remota de código.

Recommendations Atualize para a versão 2.0.0-RC.3 ou posterior.