CVE-2026-33698
CriticalSummary
Chamilo LMS to system zarządzania nauczaniem. Przed wersją 1.11.38, złożony atak może umożliwić wykonanie zablokowanego kodu PHP z katalogu main/install/, co pozwala nieautoryzowanemu atakującemu na modyfikację istniejących plików lub tworzenie nowych plików, jeśli pozwalają na to uprawnienia systemowe.
Risk Assessment
Podatność ta zagraża bezpieczeństwu portali, które mają katalog main/install/ wciąż obecny i dostępny do odczytu, co może prowadzić do nieautoryzowanych zmian w systemie.
Recommendation
Zaleca się aktualizację do wersji 1.11.38 lub nowszej oraz usunięcie katalogu main/install/ z serwera, aby zminimalizować ryzyko ataku.
Original NVD description (English source)
Chamilo LMS is a learning management system. Prior to 1.11.38, a chained attack can enable otherwise-blocked PHP code from the main/install/ directory and allow an unauthenticated attacker to modify existing files or create new files where allowed by system permissions. This only affects portals with the main/install/ directory still present and read-accessible. This vulnerability is fixed in 1.11.38.

