CVE-2026-33715Chamilo LMS 2.0-RC.2版本存在未授权访问漏洞。由于`install.ajax.php`文件未包含认证检查,攻击者无需登录即可利用`test_mailer`动作。该接口接受任意Symfony Mailer DSN字符串,导致SSRF漏洞。攻击者可借此探测内网服务,或将服务器作为邮件中继发送垃圾邮件,甚至泄露内网拓扑信息。该问题已在2.0.0-RC.3版本修复。
该漏洞的根源在于`public/main/inc/ajax/install.ajax.php`文件在系统安装完成后仍然可访问,且未像其他AJAX端点那样引入`global.inc.php`进行身份认证和安装状态检查。具体而言,该文件中的`test_mailer`动作直接从POST请求中获取`mailer_dsn`参数,并将其传递给Symfony Mailer组件以建立SMTP连接。由于缺乏验证,攻击者可以指定恶意的DSN字符串(如指向内网IP地址或恶意SMTP服务器),迫使Chamilo服务器发起连接。这不仅实现了SSRF攻击以扫描内网端口或探测服务,还可以利用服务器的信誉发送钓鱼邮件。此外,SMTP握手过程中的错误响应可能会泄露内网服务的具体版本或网络拓扑结构。