Chamilo 1.11.32

Application de 17 patchs de sécurité

  1. Deserialization of Untrusted Data (17 avril 2025)

    • Impact/Risque : Modéré *
    • Description : Permet à un utilisateur administrateur de déclencher une désérialisation de données non fiables dans vChamilo.
    • Correctif : Application des correctifs disponibles sur GitHubGitHub, et GitHub.
  2. Blind Server-Side Request Forgery (SSRF) (17 avril 2025)

    • Impact/Risque : Modéré *
    • Description : Permet à un utilisateur externe de déclencher une falsification de requête côté serveur (SSRF) aveugle lorsque le plugin OpenID est activé.
    • Correctif : Mise à jour vers la version 1.11.30 ou application du correctif disponible sur GitHub.
  3. OS Command Injection in vChamilo (17 avril 2025)

    • Impact/Risque : Élevé  *
    • Description : Permet à un utilisateur administrateur de déclencher une injection de commande OS dans la gestion des sous-langues et le module vChamilo.
    • Correctif : Mise à jour vers la version 1.11.30 ou application des correctifs disponibles sur GitHubGitHubGitHub, et GitHub.
  4. Time-based SQL Injection in Webservices (16 avril 2025)

    • Impact/Risque : Élevé  *
    • Description : Permet à un utilisateur authentifié avec accès aux services web de déclencher une injection SQL basée sur le temps.
    • Correctif : Mise à jour vers la version 1.11.30 ou application du correctif disponible sur GitHub.
  5. Error-based SQL Injection in Exercises and OpenID Module (16 avril 2025)

    • Impact/Risque : Élevé *
    • Description : Permet à un utilisateur externe de déclencher une injection SQL basée sur les erreurs dans les exercices et le module OpenID.
    • Correctif : Mise à jour vers la version 1.11.30 ou application des correctifs disponibles sur GitHub et GitHub.
    •  
  6. Error-based SQL Injection in Course Copy (16 avril 2025)

    • Impact/Risque : Élevé  *
    • Description : Permet à un utilisateur authentifié de déclencher une injection SQL basée sur les erreurs dans l’outil de copie de cours.
    • Correctif : Mise à jour vers la version 1.11.30 ou application des correctifs disponibles sur GitHubGitHub, et GitHub.
  7. Error-based SQL Injection in vChamilo Plugin (4 avril 2025)

    • Impact/Risque : Élevé *
    • Description : Permet à un utilisateur authentifié de déclencher une injection SQL basée sur les erreurs dans le plugin vChamilo.
    • Correctif : Mise à jour vers la version 1.11.30 ou application du correctif disponible sur GitHub.
  8. Client-side Open Redirect / Request Forgery (24 juin 2025)

    • Impact/Risque : Faible *
    • Description : Permet à un utilisateur enseignant de réaliser une redirection ouverte côté client ou une falsification de requête dans l’outil utilisateurs.
    • Correctif : Mise à jour vers la version 1.11.30 ou application du correctif disponible sur GitHub.
    • main/user/user.php
  9. Stored XSS Vulnerability in the Tests Tool (24 juin 2025)

    • Impact/Risque : Faible –
    • Description : Permet à un utilisateur authentifié de réaliser une attaque XSS stockée dans un type de question spécifique.
    • Correctif : Mise à jour vers la version 1.11.30 ou application du correctif disponible sur GitHub.
  10. PHAR Deserialization Bypass in vChamilo (13 mai 2025)

    • Impact/Risque : Faible *
    • Description : Permet à un utilisateur administrateur de contourner la désérialisation PHAR dans vChamilo.
    • Correctif : Mise à jour vers la version 1.11.30 ou application du correctif disponible sur GitHub.
  11. Stored Cross-Site Scripting (XSS) via Session Category (13 mai 2025)

    • Impact/Risque : Faible *
    • Description : Permet à un utilisateur administrateur de stocker du code XSS via la catégorie de session.
    • Correctif : Mise à jour vers la version 1.11.30 ou application du correctif disponible sur GitHub.
  12. Stored XSS via Malicious CSV Filename (13 mai 2025)

    • Impact/Risque : Faible –
    • Description : Permet à un utilisateur administrateur de stocker du code XSS via un nom de fichier CSV malveillant lors de l’importation d’utilisateurs.
    • Correctif : Mise à jour vers la version 1.11.30 ou application du correctif disponible sur GitHub.
  13. Friend Request Workflow Bypass (11 mai 2025)

    • Impact/Risque : Faible –
    • Description : Permet à un utilisateur authentifié d’ajouter de force n’importe quel utilisateur comme ami.
    • Correctif : Mise à jour vers la version 1.11.30 ou application du correctif disponible sur GitHub.
  14. Stored XSS Vulnerability in CSV User Import (10 mai 2025)

    • Impact/Risque : Faible –
    • Description : Permet à un utilisateur administrateur de déclencher une vulnérabilité XSS stockée lors de l’importation d’utilisateurs via CSV.
    • Correctif : Mise à jour vers la version 1.11.30 ou application du correctif disponible sur GitHub.
  15. HTML Injection via Open Parameter (21 avril 2025)

    • Impact/Risque : Faible
    • Description : Permet à un utilisateur administrateur de déclencher une injection HTML dans les scripts FAQ.
    • Correctif : Mise à jour vers la version 1.11.30 ou application des correctifs disponibles sur GitHub et GitHub.
  16. Reflected XSS via Keyword Parameters (21 avril 2025)

    • Impact/Risque : Faible
    • Description : Permet à un utilisateur administrateur de déclencher une attaque XSS réfléchie dans la gestion des utilisateurs via les paramètres keyword_active et keyword_inactive.
    • Correctif : Mise à jour vers la version 1.11.30 ou application du correctif disponible sur GitHub.
  17. Reflected XSS via Page Parameter (21 avril 2025)

    • Impact/Risque : Faible
    • Description : Permet à un utilisateur administrateur de déclencher une attaque XSS réfléchie via le paramètre page dans la gestion des utilisateurs.
    • Correctif : Mise à jour vers la version 1.11.30 ou application du correctif disponible sur GitHub.