文章总结： ChamiloLMS版本低于1.11.30存在高危操作系统命令注入漏洞，编号为CNVD-2026-14971和CVE-2025-50196。该漏洞源于editinstance.php文件对main_databasePOST参数处理不当，攻击者可借此在服务器上执行任意操作系统命令。建议相关用户尽快访问官方渠道下载并安装最新补丁进行修复，以消除安全风险并保障系统稳定运行。 综合评分： 40 文章分类： 软文广告,漏洞预警

Chamilo存在命令注入漏洞（CNVD-2026-14971、CVE-2025-50196）

网站安全说

2026年4月7日 10:36 四川

在小说阅读器读本章

去阅读

Chamilo是一款开源学习管理系统（LMS），专注于易用性和可访问性，采用PHP开发，支持LAMP/WAMP环境。其核心功能涵盖课程创建、学习路径设计、进度跟踪及评估，支持文档、视频、音频等多媒体资源管理。系统提供仪表盘数据可视化、论坛、即时消息等协作工具，并支持ONLYOFFICE等第三方集成以实现文档实时协作。全球超4000万用户使用，适用于教育机构、企业培训及社区学习场景，强调数据安全与多语言支持。

国家信息安全漏洞共享平台于2026-03-26公布该程序存在命令注入漏洞。

漏洞编号：CNVD-2026-14971、CVE-2025-50196

影响产品：Chamilo <1.11.30

漏洞级别：高

公布时间：2026-03-26

漏洞描述：Chamilo editinstance.php文件存在操作系统命令注入漏洞，该漏洞源于文件/plugin/vchamilo/views/editinstance.php对POST参数main_database处理不当，攻击者可利用该漏洞在系统上执行任意操作系统命令。

解决办法：

厂商已发布漏洞修复程序，请及时更新：https://www.cnvd.org.cn/patchInfo/show/836746。同时你也可以使用【护卫神·防入侵系统】的“注入防护”模块来解决该注入漏洞，不止对该漏洞有效，对网站所有的SQL注入漏洞和跨脚本漏洞都可以防护。

1、SQL注入防护和XSS跨站攻击防护

【护卫神·防入侵系统】自带的SQL注入防护模块（如图一）除了拦截SQL注入，还可以拦截XSS跨站脚本（如图二），一并解决Chamilo的其他安全漏洞，拦截效果如图三。

（图一：Chamilo防护SQL注入攻击）

（图二：Chamilo防护XSS跨站脚本攻击）

（图三：SQL注入拦截效果）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网站安全说 《Chamilo存在命令注入漏洞（CNVD-2026-14971、CVE-2025-50196）》