Application de 2 patchs de sécurité
Patch #1 — Injection SQL non authentifiée (CRITIQUE)
Référence : Issue #213, signalée le 25 janvier 2026 par Krishna Agarwal (PrincipleBreach). CVE demandé.
Le problème : Un utilisateur non connecté (donc n’importe qui sur internet) peut injecter du code SQL en manipulant les paramètres d’une requête HTTP envoyée au serveur Chamilo. Concrètement, cela signifie qu’un attaquant peut potentiellement lire, modifier ou supprimer des données dans la base de données (identifiants, mots de passe, données personnelles des apprenants, contenus de cours, etc.) — le tout sans avoir besoin de compte.
C’est classé critique car aucune authentification n’est nécessaire et l’impact sur les données est potentiellement total.
Comment corriger : Mettre à jour vers la 1.11.34
Patch n°2 — Exécution de code à distance (RCE) via upload de fichier (HAUTE)
Référence : Issue #212, signalée le 14 janvier 2026 par Meng Hokseng. CVE demandé.
Le problème : Un utilisateur authentifié (connecté à la plateforme) peut téléverser un fichier PHP malveillant via la fonctionnalité d’upload de fichiers personnels. Si le serveur web est mal configuré, ce fichier PHP peut ensuite être exécuté directement, ce qui donne à l’attaquant la possibilité d’exécuter du code arbitraire sur le serveur (prise de contrôle complète du serveur, installation de malware, vol de données, etc.).
C’est classé haute sévérité car cela nécessite un compte utilisateur et une configuration serveur insuffisante