CVE-2026-33704

Name of the Vulnerable Software and Affected Versions Chamilo LMS versões anteriores a 1.11.38

Description Chamilo LMS é um sistema de gerenciamento de aprendizagem. Usuários autenticados, incluindo alunos, podem gravar conteúdo arbitrário em arquivos no servidor através do endpoint BigUpload. O parâmetro key controla o nome do arquivo e o corpo POST bruto se torna o conteúdo do arquivo. Embora as extensões .php sejam filtradas para .phps, a extensão .pht não é filtrada e é tratada como PHP em algumas configurações do Apache, levando à Execução Remota de Código.

Recommendations Atualize para a versão 1.11.38 ou posterior.