CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-23126
https://notcve.org/view.php?id=CVE-2020-23126
03 Nov 2021 — Chamilo LMS version 1.11.10 contains an XSS vulnerability in the personal profile edition form, affecting the user him/herself and social network friends. Chamilo LMS versión 1.11.10, contiene una vulnerabilidad de tipo XSS en el formulario de edición del perfil personal, que afecta al propio usuario y a los amigos de la red social • https://support.chamilo.org/projects/chamilo-18/wiki/Security_issues#Issue-42-2020-04-23-High-risk-low-impact-XSS-in-extended-users-profile-fields • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2021-37390
https://notcve.org/view.php?id=CVE-2021-37390
10 Aug 2021 — A Chamilo LMS 1.11.14 reflected XSS vulnerability exists in main/social/search.php=q URI (social network search feature). Se presenta una vulnerabilidad de tipo XSS reflejado en Chamilo LMS versión 1.11.14, en la función main/social/search.php=q URI (funcionalidad de búsqueda en redes sociales) • https://gitbook.seguranca-informatica.pt/cve-and-exploits/cves/chamilo-lms-1.11.14-xss-vulnerabilities • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 2CVE-2021-37391 – Chamilo LMS 1.11.14 - Account Takeover
https://notcve.org/view.php?id=CVE-2021-37391
10 Aug 2021 — A user without privileges in Chamilo LMS 1.11.14 can send an invitation message to another user, e.g., the administrator, through main/social/search.php, main/inc/lib/social.lib.php and steal cookies or execute arbitrary code on the administration side via a stored XSS vulnerability via social network the send invitation feature. Un usuario sin privilegios en Chamilo LMS versión 1.11.14, puede enviar un mensaje de invitación a otro usuario, por ejemplo, el administrador, mediante los archivos main/social/se... • https://www.exploit-db.com/exploits/50694 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.9EPSS: 0%CPEs: 1EXPL: 1CVE-2020-23128
https://notcve.org/view.php?id=CVE-2020-23128
05 May 2021 — Chamilo LMS 1.11.10 does not properly manage privileges which could allow a user with Sessions administrator privilege to create a new user then use the edit user function to change this new user to administrator privilege. Chamilo LMS versión 1.11.10, no administra apropiadamente los privilegios que podrían permitir a un usuario con privilegios de administrador de Sesiones crear un nuevo usuario y luego usar la función edit user para cambiar este nuevo usuario a privilegio de administrador • https://support.chamilo.org/projects/chamilo-18/wiki/Security_issues#Issue-41-2020-04-22-Medium-risk-high-impact-CSRF-and-privilege-escalation-via-CSRF • CWE-269: Improper Privilege Management •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 2CVE-2020-23127
https://notcve.org/view.php?id=CVE-2020-23127
05 May 2021 — Chamilo LMS 1.11.10 is affected by Cross Site Request Forgery (CSRF) via the edit_user function by targeting an admin user. Chamilo LMS versión 1.11.10, está afectado por una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) por medio de la función edit_user al apuntar a un usuario administrador • https://github.com/patrickhalasik/cve-2020-23127-PoC • CWE-352: Cross-Site Request Forgery (CSRF) •