PT-2026-32914 · Chamilo · Chamilo
Morimori-Dev
·
Publicado
2026-04-14
·
Atualizado
2026-04-15
·
CVE-2026-33714
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Name of the Vulnerable Software and Affected Versions
Chamilo versão 2.0.0-RC.2
Description
Existe um problema no endpoint AJAX de estatísticas onde os parâmetros
date start e date end na ação users active dentro do arquivo 'public/main/inc/ajax/statistics.ajax.php' não são sanitizados. Esses parâmetros são interpolados diretamente em uma consulta SQL, permitindo que um administrador autenticado realize uma injeção de SQL cega baseada em tempo para extrair dados arbitrários do banco de dados.Recommendations
Atualizar para a versão 2.0.0.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Chamilo