CVE-2026-30875 in LMS
Zusammenfassung
von VulDB • 14.06.2026
Chamilo LMS ist ein Learning Management System (LMS). Vor Version 1.11.36 ermöglicht eine Schwachstelle für das willkürliche Hochladen von Dateien im H5P-Importfeature authentifizierten Benutzern mit der Rolle „Lehrer“ die Remote Code Execution (RCE). Die Validierung des H5P-Pakets prüft lediglich, ob h5p.json vorhanden ist, blockiert jedoch keine .htaccess-Dateien oder PHP-Dateien mit alternativen Erweiterungen. Ein Angreifer lädt ein manipuliertes H5P-Paket hoch, das einen Webshell und eine .htaccess-Datei enthält, die die PHP-Ausführung für .txt-Dateien ermöglicht und damit Sicherheitskontrollen umgeht. Dieses Problem wurde in Version 1.11.36 behoben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.