Vulnerabilidad en chamilo-lms de chamilo (CVE-2026-30881)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)

Fecha de publicación:

16/03/2026

Última modificación:

17/03/2026

Descripción

Chamilo LMS es un sistema de gestión de aprendizaje. La versión 1.11.34 y anteriores contiene una vulnerabilidad de inyección SQL en el endpoint AJAX de estadísticas. Los parámetros date_start y date_end de $_REQUEST se incrustan directamente en una cadena SQL sin procesar sin una sanitización adecuada. Aunque Database::escape_string() se llama más adelante, su salida es neutralizada inmediatamente por str_replace(\&#39;, "&#39;", ...), lo que restaura cualquier comilla simple inyectada — eludiendo efectivamente el mecanismo de escape por completo. Esto permite a un atacante autenticado inyectar sentencias SQL arbitrarias en la consulta de la base de datos, lo que permite la extracción de datos ciega basada en tiempo y condicional. Este problema ha sido parcheado en la versión 1.11.36.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto