ГРУППА ПОЗИТИВ [новости]

НОВОСТИ АКЦИЙ

Уязвимость в системе

2025-02-25T12:22:08+03:00 32

Positive Technologies внесла свой вклад в устранение критически опасной уязвимости в системе электронного обучения Chamilo. Владимир Власов, эксперт PT SWARM, обнаружил серьезный недостаток в системе управления обучением с открытым исходным кодом Chamilo. По информации разработчика платформы, на начало 2025 года в ней зарегистрировано около 40 миллионов аккаунтов. Chamilo используется как студентами и преподавателями учебных заведений, так и компаниями для проведения корпоративного обучения. Если бы злоумышленник смог воспользоваться этой уязвимостью, он мог бы получить доступ к внутренней сети организации и заразить устройства сотрудников вредоносным программным обеспечением. В рамках политики ответственного разглашения вендор был своевременно уведомлен об угрозе и выпустил обновление. Уязвимость, получившая название CVE-2024-50337 (BDU:2024-10118), получила оценку 9,8 балла по шкале CVSS 3.0. До исправления ошибки злоумышленник мог отправлять SOAP-запрос1 без фильтрации параметров, что потенциально могло привести к удаленному выполнению вредоносного кода. Уязвимость была обнаружена в версиях Chamilo от 1.11.0 до 1.11.26, включая самую популярную версию — 1.11.10. По статистике вендора, на эту версию приходится 40% установок за все время существования платформы. Чтобы исправить ошибку, необходимо как можно скорее установить Chamilo версии 1.11.28 и выше. Если установка обновления невозможна, эксперт Positive Technologies рекомендует убедиться, что в конфигурационном файле php.ini среди отключенных функций нет call_user_func_array. Бесплатная платформа Chamilo предназначена для управления курсами, проведения вебинаров и создания учебных материалов. В январе 2025 года, согласно данным открытых источников, в мире насчитывалось 486 удаленно доступных и уязвимых систем Chamilo. Источник: www.group.ptsecurity.com