CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2023-31806
https://notcve.org/view.php?id=CVE-2023-31806
09 May 2023 — Cross Site Scripting vulnerability found in Chamilo Lms v.1.11.18 allows a local attacker to execute arbitrary code via a crafted payload to the My Progress function. • http://chamilo.com • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2023-31807
https://notcve.org/view.php?id=CVE-2023-31807
09 May 2023 — Cross Site Scripting vulnerability found in Chamilo Lms v.1.11.18 allows a local attacker to execute arbitrary code via a crafted payload to the personal notes function. • http://chamilo.com • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-27426
https://notcve.org/view.php?id=CVE-2022-27426
15 Apr 2022 — A Server-Side Request Forgery (SSRF) in Chamilo LMS v1.11.13 allows attackers to enumerate the internal network and execute arbitrary system commands via a crafted Phar file. Una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) en Chamilo LMS versión v1.11.13, permite a atacantes enumerar la red interna y ejecutar comandos arbitrarios del sistema por medio de un archivo Phar diseñado • https://support.chamilo.org/projects/1/wiki/Security_issues • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-27423
https://notcve.org/view.php?id=CVE-2022-27423
15 Apr 2022 — Chamilo LMS v1.11.13 was discovered to contain a SQL injection vulnerability via the blog_id parameter at /blog/blog.php. Se ha detectado que Chamilo LMS versión v1.11.13, contiene una vulnerabilidad de inyección SQL por medio del parámetro blog_id en el archivo /blog/blog.php • https://support.chamilo.org/projects/1/wiki/Security_issues • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2022-27422
https://notcve.org/view.php?id=CVE-2022-27422
15 Apr 2022 — A reflected cross-site scripting (XSS) vulnerability in Chamilo LMS v1.11.13 allows attackers to execute arbitrary web scripts or HTML via user interaction with a crafted URL. Una vulnerabilidad de tipo cross-site scripting (XSS) reflejado en Chamilo LMS versión v1.11.13, permite a atacantes ejecutar scripts web o HTML arbitrarios por medio de la interacción del usuario con una URL diseñada • https://support.chamilo.org/projects/1/wiki/Security_issues • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 0CVE-2022-27421
https://notcve.org/view.php?id=CVE-2022-27421
15 Apr 2022 — Chamilo LMS v1.11.13 lacks validation on the user modification form, allowing attackers to escalate privileges to Platform Admin. Chamilo LMS versión v1.11.13, carece de comprobación en el formulario de modificación de usuarios, permitiendo a atacantes escalar privilegios al administrador de la plataforma • https://support.chamilo.org/projects/1/wiki/Security_issues • CWE-20: Improper Input Validation •
CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 1CVE-2021-35415
https://notcve.org/view.php?id=CVE-2021-35415
03 Dec 2021 — A stored cross-site scripting (XSS) vulnerability allows attackers to execute arbitrary web scripts or HTML via a crafted payload in the course "Title" and "Content" fields. Una vulnerabilidad de tipo cross-site scripting (XSS) almacenada permite a atacantes ejecutar scripts web o HTML arbitrarios por medio de una carga útil diseñada en los campos "Title" y "Content" del curso • https://github.com/andrejspuler/writeups/tree/main/chamilo-lms#multiple-stored-cross-site-scripting-vulnerabilities • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 1%CPEs: 1EXPL: 2CVE-2021-35414
https://notcve.org/view.php?id=CVE-2021-35414
03 Dec 2021 — Chamilo LMS v1.11.x was discovered to contain a SQL injection via the doc parameter in main/plagiarism/compilatio/upload.php. Se ha detectado que Chamilo LMS versión v1.11.x, contiene una inyección SQL por medio del parámetro doc en el archivo main/plagiarism/compilatio/upload.php • https://github.com/andrejspuler/writeups/tree/main/chamilo-lms#unauthenticated-sql-injection-2-in-plugin • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 8.8EPSS: 1%CPEs: 1EXPL: 1CVE-2021-35413
https://notcve.org/view.php?id=CVE-2021-35413
03 Dec 2021 — A remote code execution (RCE) vulnerability in course_intro_pdf_import.php of Chamilo LMS v1.11.x allows authenticated attackers to execute arbitrary code via a crafted .htaccess file. Una vulnerabilidad de ejecución de código remota (RCE) en el archivo course_intro_pdf_import.php de Chamilo LMS versión v1.11.x, permite a atacantes autenticados ejecutar código arbitrario por medio de un archivo .htaccess diseñado • https://github.com/andrejspuler/writeups/tree/main/chamilo-lms#authenticated-remote-code-execution-in-import-file • CWE-862: Missing Authorization •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-23126
https://notcve.org/view.php?id=CVE-2020-23126
03 Nov 2021 — Chamilo LMS version 1.11.10 contains an XSS vulnerability in the personal profile edition form, affecting the user him/herself and social network friends. Chamilo LMS versión 1.11.10, contiene una vulnerabilidad de tipo XSS en el formulario de edición del perfil personal, que afecta al propio usuario y a los amigos de la red social • https://support.chamilo.org/projects/chamilo-18/wiki/Security_issues#Issue-42-2020-04-23-High-risk-low-impact-XSS-in-extended-users-profile-fields • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •