Application de 17 patchs de sécurité
Deserialization of Untrusted Data (17 avril 2025)
Blind Server-Side Request Forgery (SSRF) (17 avril 2025)
- Impact/Risque : Modéré *
- Description : Permet à un utilisateur externe de déclencher une falsification de requête côté serveur (SSRF) aveugle lorsque le plugin OpenID est activé.
- Correctif : Mise à jour vers la version 1.11.30 ou application du correctif disponible sur GitHub.
OS Command Injection in vChamilo (17 avril 2025)
- Impact/Risque : Élevé *
- Description : Permet à un utilisateur administrateur de déclencher une injection de commande OS dans la gestion des sous-langues et le module vChamilo.
- Correctif : Mise à jour vers la version 1.11.30 ou application des correctifs disponibles sur GitHub, GitHub, GitHub, et GitHub.
Time-based SQL Injection in Webservices (16 avril 2025)
- Impact/Risque : Élevé *
- Description : Permet à un utilisateur authentifié avec accès aux services web de déclencher une injection SQL basée sur le temps.
- Correctif : Mise à jour vers la version 1.11.30 ou application du correctif disponible sur GitHub.
Error-based SQL Injection in Exercises and OpenID Module (16 avril 2025)
Error-based SQL Injection in Course Copy (16 avril 2025)
Error-based SQL Injection in vChamilo Plugin (4 avril 2025)
- Impact/Risque : Élevé *
- Description : Permet à un utilisateur authentifié de déclencher une injection SQL basée sur les erreurs dans le plugin vChamilo.
- Correctif : Mise à jour vers la version 1.11.30 ou application du correctif disponible sur GitHub.
Client-side Open Redirect / Request Forgery (24 juin 2025)
- Impact/Risque : Faible *
- Description : Permet à un utilisateur enseignant de réaliser une redirection ouverte côté client ou une falsification de requête dans l’outil utilisateurs.
- Correctif : Mise à jour vers la version 1.11.30 ou application du correctif disponible sur GitHub.
- main/user/user.php
Stored XSS Vulnerability in the Tests Tool (24 juin 2025)
- Impact/Risque : Faible –
- Description : Permet à un utilisateur authentifié de réaliser une attaque XSS stockée dans un type de question spécifique.
- Correctif : Mise à jour vers la version 1.11.30 ou application du correctif disponible sur GitHub.
PHAR Deserialization Bypass in vChamilo (13 mai 2025)
- Impact/Risque : Faible *
- Description : Permet à un utilisateur administrateur de contourner la désérialisation PHAR dans vChamilo.
- Correctif : Mise à jour vers la version 1.11.30 ou application du correctif disponible sur GitHub.
Stored Cross-Site Scripting (XSS) via Session Category (13 mai 2025)
- Impact/Risque : Faible *
- Description : Permet à un utilisateur administrateur de stocker du code XSS via la catégorie de session.
- Correctif : Mise à jour vers la version 1.11.30 ou application du correctif disponible sur GitHub.
Stored XSS via Malicious CSV Filename (13 mai 2025)
- Impact/Risque : Faible –
- Description : Permet à un utilisateur administrateur de stocker du code XSS via un nom de fichier CSV malveillant lors de l’importation d’utilisateurs.
- Correctif : Mise à jour vers la version 1.11.30 ou application du correctif disponible sur GitHub.
Friend Request Workflow Bypass (11 mai 2025)
- Impact/Risque : Faible –
- Description : Permet à un utilisateur authentifié d’ajouter de force n’importe quel utilisateur comme ami.
- Correctif : Mise à jour vers la version 1.11.30 ou application du correctif disponible sur GitHub.
Stored XSS Vulnerability in CSV User Import (10 mai 2025)
- Impact/Risque : Faible –
- Description : Permet à un utilisateur administrateur de déclencher une vulnérabilité XSS stockée lors de l’importation d’utilisateurs via CSV.
- Correctif : Mise à jour vers la version 1.11.30 ou application du correctif disponible sur GitHub.
HTML Injection via Open Parameter (21 avril 2025)
Reflected XSS via Keyword Parameters (21 avril 2025)
- Impact/Risque : Faible
- Description : Permet à un utilisateur administrateur de déclencher une attaque XSS réfléchie dans la gestion des utilisateurs via les paramètres
keyword_active
etkeyword_inactive
. - Correctif : Mise à jour vers la version 1.11.30 ou application du correctif disponible sur GitHub.
Reflected XSS via Page Parameter (21 avril 2025)
- Impact/Risque : Faible
- Description : Permet à un utilisateur administrateur de déclencher une attaque XSS réfléchie via le paramètre
page
dans la gestion des utilisateurs. - Correctif : Mise à jour vers la version 1.11.30 ou application du correctif disponible sur GitHub.