Club eLearning

Gérer la sécurité du LMS Chamilo Juin 2025

Chamilo LMS est un système de gestion d’apprentissage (LMS) open source axé sur la facilité d’utilisation et l’accessibilité. Il s’agit de l’un des 3 principaux LMS open source au monde.

Caractéristiques du projet :

  • Langage principal : PHP compatible v 8
  • Branche analysée : 1.11.x (branche stable actuelle)
  • Dernière version : 1.11.28
  • Politique de sécurité : Correction rapide des vulnérabilités

Issue #179 – 2024-11-04 → Corrigé en 2025

Vulnérabilité XSS stockée dans les portfolios

  • Impact : Modéré
  • Risque : Modéré
  • Description : Permet à un utilisateur authentifié de créer un post ou commentaire de portfolio avec XSS
  • Versions affectées : Chamilo 1.11.x (jusqu’à 1.11.26)
  • Correctif : Filtrage amélioré des entrées utilisateur dans les portfolios

Issue #178 – 2024-11-04 → Corrigé en 2025

Vulnérabilité XSS stockée dans la messagerie

  • Impact : Modéré
  • Risque : Modéré
  • Description : Chamilo 1.11.x (up to 1.11.26) allows an authenticated user to craft a message to an admin with XSS
  • Rapporté par : Sameer Jyani @ redhuntlabs
  • Correctif : Commit 2c32fdef693e6340feacc65d3591ee29d5028c07

Issue #177 – 2024-09-27 → Corrigé en 2025

Injection HTML dans le chat de cours

  • Impact : Faible
  • Risque : Modéré
  • Description : Chamilo 1.11.x (up to 1.11.26) allows an authenticated user with access to the chat tool in a course to inject HTML in the course chat
  • Rapporté par : Uttam Gupta @ redhuntlabs
  • Correctif : Configuration CSP recommandée + commit 7784dadcb5a55458a3031a22d9055f6b81226a99 ou supprimer le chat

Issue #176 – 2024-09-24 → Corrigé en 2025

Injection HTML dans le réseau social

  • Impact : Faible
  • Risque : Modéré
  • Description : Chamilo 1.11.x (up to 1.11.26) allows an authenticated user with access to the social network to post HTML on his own wall
  • Rapporté par : Sameer Jyani @ redhuntlabs
  • Correctif : Configuration CSP* + commit 7784dadcb5a55458a3031a22d9055f6b81226a99
* Content Security Policy (CSP) est un mécanisme de sécurité web qui aide à prévenir les attaques par injection de code malveillant, notamment les attaques XSS (Cross-Site Scripting). C’est un en-tête HTTP ou une balise meta qui définit les sources autorisées pour différents types de contenu.

Issue #175 – 2024-09-11 → Corrigé en 2025

Exécution d’entrées utilisateur non fiables → RCE

  • Impact : Élevé
  • Risque : Modéré
  • Description : Chamilo 1.11.x (up to 1.11.26) allows carefully crafted SOAP request to upload files to executable directories
  • Rapporté par : Vladimir Vlasov (Positive Technologies)

Mesures de sécurité récentes appliquées

  1. Amélioration du filtrage des entrées : Renforcement du filtrage XSS dans plusieurs composants
  2. Authentification renforcée : Corrections des vérifications d’authentification dans les appels AJAX
  3. Contrôle d’accès : Amélioration des contrôles d’autorisation
  4. Configuration CSP : Recommandations pour implémenter Content Security Policy
  5. Mise à jour des bibliothèques : Correction des vulnérabilités dans les dépendances tierces

Besoin d’aide sur Chamilo ?

Voir la liste des Entreprises et fournisseurs de Chamilo en France et dans le monde