Chamilo是一款开源学习管理系统(LMS),专注于易用性和可访问性,采用PHP开发,支持LAMP/WAMP环境。其核心功能涵盖课程创建、学习路径设计、进度跟踪及评估,支持文档、视频、音频等多媒体资源管理。系统提供仪表盘数据可视化、论坛、即时消息等协作工具,并支持ONLYOFFICE等第三方集成以实现文档实时协作。全球超4000万用户使用,适用于教育机构、企业培训及社区学习场景,强调数据安全与多语言支持。
国家信息安全漏洞共享平台于2026-03-10公布该程序存在代码注入漏洞。
漏洞编号:CNVD-2026-13257,CVE-2025-50190
影响产品:Chamilo <1.11.30
漏洞级别:高
公布时间:2026-03-10
漏洞描述:index.php文件存在SQL注入漏洞,攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。
解决办法:
厂商已发布了漏洞修复程序,请及时关注更新:https://chamilo.org/en/download/。同时你也可以使用『护卫神·防入侵系统』的“注入防护”模块来解决该注入漏洞,不止对该漏洞有效,对网站所有的SQL注入漏洞和跨脚本漏洞都可以防护。
1、SQL注入防护和XSS跨站攻击防护
『护卫神·防入侵系统』自带的SQL注入防护模块(如图一)除了拦截SQL注入,还可以拦截XSS跨站脚本(如图二),一并解决迅睿CMS的其他安全漏洞,拦截效果如图三。
(图一:Chamilo防护SQL注入攻击)
(图二:Chamilo防护XSS跨站脚本攻击)
(图三:SQL注入拦截效果)
