CVE-2026-34161

Name of the Vulnerable Software and Affected Versions Chamilo LMS versões anteriores a 2.0.0-RC.3

Description Um problema de Cross-Site Scripting (XSS) Armazenado existe na funcionalidade de upload de anexos de postagens sociais. Um usuário autenticado pode fazer o upload de um arquivo HTML malicioso contendo JavaScript através do endpoint '/api/social post attachments'. A aplicação serve o arquivo enviado por meio do contentUrl sem sanitização, restrições de tipo de conteúdo ou um cabeçalho Content-Disposition: attachment, permitindo que o JavaScript seja executado no navegador dentro da origem da aplicação. Isso pode levar ao sequestro de sessão, assumir o controle de contas, escalonamento de privilégios caso um administrador visualize o link e a execução de ações arbitrárias em nome da vítima.

Recommendations Atualizar para a versão 2.0.0-RC.3.