486 серверов Chamilo оказались доступны хакерам через SOAP-запросы

Эксперт компании Positive Technologies обнаружил критически опасную уязвимость в системе электронного обучения Chamilo, которой пользуются миллионы студентов и корпоративных клиентов по всему миру. Ошибка безопасности могла привести к проникновению злоумышленников во внутреннюю сеть организаций и заражению устройств вредоносным ПО.

Уязвимость CVE-2024-50337 ( BDU:2024-10118 ) получила оценку 9,8 из 10 по шкале CVSS 3.0, что свидетельствует о ее высокой критичности. Проблема заключалась в некорректной обработке SOAP-запросов, позволяя атакующим удаленно исполнять код на серверах Chamilo. Под угрозой оказались версии системы от 1.11.0 до 1.11.26, включая самую популярную 1.11.10, на долю которой приходится 40% всех установок платформы.

Разработчики Chamilo были уведомлены о проблеме в рамках ответственного раскрытия информации и оперативно выпустили исправленную версию 1.11.28. Пользователям настоятельно рекомендуется обновить систему, а в случае невозможности установки патча — проверить, чтобы в конфигурационном файле php.ini функция call_user_func_array была отключена.

По данным на начало 2025 года, Chamilo зарегистрировала около 40 миллионов аккаунтов, а в сети насчитывалось не менее 486 уязвимых экземпляров платформы, доступных удаленно. Использование этой системы широко распространено среди учебных заведений и компаний, организующих корпоративное обучение.

По словам эксперта Positive Technologies Владимира Власова, ошибка позволяла атакующим не только получить контроль над содержимым сайта и повысить привилегии, но и проникнуть во внутреннюю сеть компании. Закрепившись на сервере, злоумышленник мог заразить устройства сотрудников вредоносными программами, что создавало серьезные риски для организаций.