CVE-2026-34161Chamilo LMS在2.0.0-RC.3版本之前存在存储型XSS漏洞。攻击者可利用社交帖子附件上传功能上传包含恶意JavaScript的HTML文件。由于服务器未对该文件进行有效清理且未强制下载,当受害者访问生成的链接时,恶意脚本将在浏览器中原地执行,导致会话劫持、账户接管或权限提升。
该漏洞源于Chamilo LMS的/api/social_post_attachments接口在处理社交帖子附件上传时缺乏有效的安全过滤。经过身份认证的攻击者可以上传包含恶意JavaScript代码的HTML文件。服务器在存储文件并通过生成的contentUrl提供服务时,未对文件内容进行清理,未设置Content-Disposition: attachment头部强制下载,也未进行严格的Content-Type限制。当受害者(尤其是管理员)点击或访问该链接时,浏览器将在应用的可信源上下文中解析HTML并执行恶意脚本。攻击者利用此漏洞可进行会话劫持、账户接管及权限提升。