👩‍🎓 Эксперт PT SWARM Владимир Власов помог устранить критически опасную уязвимость в платформе для управления обучением с открытым исходным кодом Chamilo На платформе зарегистрировано около 40 млн аккаунтов. Ей пользуются студенты и преподаватели учебных заведений, также ее применяют компании для проведения корпоративного обучения. Эксплуатация обнаруженной Владимиром уязвимости — CVE-2024-50337 (BDU:2024-10118) — гипотетически могла бы привести к проникновению во внутреннюю сеть организации и заражению устройств сотрудников вредоносным ПО. 👾 Недостаток получил оценку 9,8 балла по шкале CVSS 3.0. Производитель был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление. Уязвимость содержали версии Chamilo с 1.11.0 по 1.11.26, в том числе самая популярная версия — 1.11.10, на долю которой, по статистике вендора, приходится 40% установок за все время существования платформы. 💬 Владимир Власов отметил: «До исправления уязвимости в случае ее эксплуатации опасности могли бы подвергнуться как обычные пользователи, так и корпоративные клиенты, установившие Chamilo в инфраструктуре. Ошибка могла бы позволить потенциальному нарушителю получить полный контроль над содержимым сайта, повысить привилегии и проникнуть во внутреннюю сеть организации. Закрепившись на сервере, атакующий мог бы попытаться заразить устройства сотрудников вредоносным ПО». 🔄 Для исправления уязвимости необходимо в кратчайшие сроки установить Chamilo версии 1.11.28 или выше. Если установка обновления невозможна, наш эксперт рекомендует убедиться, что в конфигурационном файле php.ini среди отключенных функций нет call_user_func_array. 👀 Подробности — на нашем сайте: https://vk.cc/cIWq5R #PositiveЭксперты