CVE-2026-30882

Chamilo LMS is a learning management system. Chamilo LMS version 1.11.34 and prior contains a Reflected Cross-Site Scripting (XSS) vulnerability in the session category listing page. The keyword parameter from $_REQUEST is echoed directly into an HTML href attribute without any encoding or sanitization. An attacker can inject arbitrary HTML/JavaScript by breaking out of the attribute context using ">followed by a malicious payload. The vulnerability is triggered when the pagination controls are rendered — which occurs when the number of session categories exceeds 20 (the page limit). This issue has been patched in version 1.11.36.
Configurations

Configuration 1 (hide)

cpe:2.3:a:chamilo:chamilo_lms:*:*:*:*:*:*:*:*

History

17 Jun 2026, 10:33

Type Values Removed Values Added
Summary
  • (es) Chamilo LMS es un sistema de gestión del aprendizaje. Chamilo LMS versión 1.11.34 y anteriores contiene una vulnerabilidad de cross-site scripting (XSS) reflejado en la página de listado de categorías de sesión. El parámetro keyword de $_REQUEST se reproduce directamente en un atributo HTML href sin ninguna codificación o sanitización. Un atacante puede inyectar HTML/JavaScript arbitrario saliendo del contexto del atributo usando ">seguido de una carga útil maliciosa. La vulnerabilidad se activa cuando se renderizan los controles de paginación — lo que ocurre cuando el número de categorías de sesión excede de 20 (el límite de la página). Este problema ha sido parcheado en la versión 1.11.36.

17 Mar 2026, 18:52

Type Values Removed Values Added
First Time Chamilo chamilo Lms
Chamilo
CPE cpe:2.3:a:chamilo:chamilo_lms:*:*:*:*:*:*:*:*
References () https://github.com/chamilo/chamilo-lms/releases/tag/v1.11.36 - () https://github.com/chamilo/chamilo-lms/releases/tag/v1.11.36 - Product, Release Notes
References () https://github.com/chamilo/chamilo-lms/security/advisories/GHSA-qg5f-gq95-9vhq - () https://github.com/chamilo/chamilo-lms/security/advisories/GHSA-qg5f-gq95-9vhq - Vendor Advisory

16 Mar 2026, 20:16

Type Values Removed Values Added
New CVE

Information

Published : 2026-03-16 20:16

Updated : 2026-06-17 10:33


NVD link : CVE-2026-30882

Mitre link : CVE-2026-30882

CVE.ORG link : CVE-2026-30882


JSON object : View

Products Affected

chamilo

  • chamilo_lms
CWE
CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')