Тип ошибки:
CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection')
Вектор уязвимости:
- Базовый вектор уязвимости (CVSSv3.1): CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- Уровень критичности уязвимости (CVSSv3.1): 9.8 (critical)
- Базовый вектор уязвимости (CVSSv4.0): CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
- Уровень критичности уязвимости (CVSSv4.0): 9.5 (critical)
Описание уязвимости:
В Chamilo LMS была выявлена проблема, затрагивающая версии с 1.11.x до 1.11.26 включительно.
Обнаруженная уязвимость может быть использована неавторизованным злоумышленником для отправки SOAP-запроса без фильтрации параметра, что приведет к возможному удаленному исполнению вредоносного кода.
Статус уязвимости: Подтверждена производителем
Дата исправления уязвимости: 22.10.2024
Рекомендации:
- Обновление до версии 1.11.28 или выше
Прочая информация: Бюллетень по безопасности
Исследователь: Владимир Власов (Positive Technologies)
Идентификаторы:
CVE-2024-50337
BDU:2024-10118
Вендор:
The Chamilo Association
Уязвимый продукт:
Chamilo LMS
Уязвимые версии:
1.11.x - 1.11.26