CVE-2026-30875 in LMSinfo

Zusammenfassung

von VulDB • 14.06.2026

Chamilo LMS ist ein Learning Management System (LMS). Vor Version 1.11.36 ermöglicht eine Schwachstelle für das willkürliche Hochladen von Dateien im H5P-Importfeature authentifizierten Benutzern mit der Rolle „Lehrer“ die Remote Code Execution (RCE). Die Validierung des H5P-Pakets prüft lediglich, ob h5p.json vorhanden ist, blockiert jedoch keine .htaccess-Dateien oder PHP-Dateien mit alternativen Erweiterungen. Ein Angreifer lädt ein manipuliertes H5P-Paket hoch, das einen Webshell und eine .htaccess-Datei enthält, die die PHP-Ausführung für .txt-Dateien ermöglicht und damit Sicherheitskontrollen umgeht. Dieses Problem wurde in Version 1.11.36 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub M

Reservieren

06.03.2026

Veröffentlichung

16.03.2026

Moderieren

akzeptiert

Eintrag

VDB-351313

CPE

bereit

EPSS

0.00515

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!