CVE-2023-39061
NiskieCVSS 3.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
Podatność CSRF w Chamilo w wersjach od 1.11 do 1.11.20 umożliwia zdalnemu, uwierzytelnionemu atakującemu z uprawnieniami wykonanie dowolnego kodu. Luka wynika z braku odpowiednich zabezpieczeń przed fałszowaniem żądań między witrynami.
Ocena ryzyka
Organizacja narażona jest na przejęcie kontroli nad systemem przez uprzywilejowanego użytkownika, co może prowadzić do kradzieży danych, modyfikacji treści lub całkowitego naruszenia integralności platformy e-learningowej.
Rekomendacja
Należy niezwłocznie zaktualizować Chamilo do wersji 1.11.21 lub nowszej, która zawiera poprawkę eliminującą podatność CSRF. Dodatkowo warto wdrożyć mechanizmy tokenów CSRF i walidację nagłówka Origin.
Oryginalny opis (angielski, źródło NVD)
Cross Site Request Forgery (CSRF) vulnerability in Chamilo v.1.11 thru v.1.11.20 allows a remote authenticated privileged attacker to execute arbitrary code.

