Chamilo LMS — популярна система управління навчальним процесом з відкритим кодом. Нещодавно була виявлена критична уразливість безпеки (CVE-2025-52998), яка ставить під ризик розгортання цього ПЗ у навчальних закладах і корпоративних середовищах. Експлуатація уразливості може привести до масштабних наслідків для IT-інфраструктури.
Уразливість була виправлена 2 березня 2026 року в релізі 1.11.30. Всі попередні версії піддаються небезпеці, тому адміністратори систем мають оперативно реагувати — зволікання може коштувати компрометації даних та бізнес-процесів. Правильне оновлення безпеки мінімізує ризик для систем.
Що сталося
У всіх версіях Chamilo LMS до 1.11.30 виникала критична уразливість, пов'язана з неконтрольованою десеріалізацією даних. Зловмисник міг підробити серіалізовані об'єкти, створити довільні класи та змінити їхні властивості, впливаючи на логіку роботи вебдодатку. Це відкриває шлях до повного контролю над додатком.
Коли та як можлива атака
Атака можлива на будь-якому сервері, де встановлений Chamilo LMS версії до 1.11.30. Для експлуатації уразливості не потрібні права користувача та взаємодія з користувачем. Використовуючи некоректну десеріалізацію, атакуючий може передати спеціально сформовані дані та змінити виконання коду програми.
Чому це важливо
Ця уразливість — серйозний ризик для бізнесу, освітніх платформ та IT-інфраструктури, оскільки дозволяє отримати контроль над усією системою Chamilo LMS, що призводить до витоку даних, компрометації акаунтів, перебігу атаки по мережі та призупинення навчальних чи робочих процесів. У випадку комплексної експлуатації організація може втратити критичні дані або повністю втратити контроль над системою.
Рекомендації
Усім адміністраторам систем та DevOps-командам слід негайно оновити Chamilo LMS до версії 1.11.30 або новішої. Регулярно перевіряйте наявність патчів безпеки і відстежуйте офіційні повідомлення розробників. Рекомендується також провести аудит логів для виявлення можливої експлуатації уразливості. Не залишайте без уваги питання кібербезпеки своєї організації.
Технічні деталі
ПЗ: Chamilo LMS, усі версії до 1.11.30 включно.
CVSS 3.1: 9.8 (CRITICAL)
Вектор атаки: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H — віддалене виконання без авторизації чи взаємодії з користувачем.
Цей допис поки що не має жодних доповнень від автора/ки.
