文章总结： Chamilo开源学习管理系统在1.11.30之前版本存在高危SQL注入漏洞（CNVD-2026-13257/CVE-2025-50190），攻击者可通过index.php执行非法SQL命令窃取敏感数据。厂商已发布修复程序，建议用户及时更新至最新版本。文档同时推荐使用护卫神·防入侵系统的注入防护模块进行综合安全防护。 综合评分： 75 文章分类： 漏洞分析,WEB安全,应用安全,解决方案,安全工具

Chamilo存在SQL注入漏洞（CNVD-2026-13257，CVE-2025-50190）

原创

技术部 技术部

网站安全说

2026年3月24日 11:57 四川

在小说阅读器读本章

去阅读

Chamilo是一款开源学习管理系统（LMS），专注于易用性和可访问性，采用PHP开发，支持LAMP/WAMP环境。其核心功能涵盖课程创建、学习路径设计、进度跟踪及评估，支持文档、视频、音频等多媒体资源管理。系统提供仪表盘数据可视化、论坛、即时消息等协作工具，并支持ONLYOFFICE等第三方集成以实现文档实时协作。全球超4000万用户使用，适用于教育机构、企业培训及社区学习场景，强调数据安全与多语言支持。

国家信息安全漏洞共享平台于2026-03-10公布该程序存在代码注入漏洞。

漏洞编号：CNVD-2026-13257，CVE-2025-50190

影响产品：Chamilo <1.11.30

漏洞级别：高

公布时间：2026-03-10

漏洞描述：index.php文件存在SQL注入漏洞，攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。

解决办法：

厂商已发布了漏洞修复程序，请及时关注更新：https://chamilo.org/en/download/。同时你也可以使用【护卫神·防入侵系统】的“注入防护”模块来解决该注入漏洞，不止对该漏洞有效，对网站所有的SQL注入漏洞和跨脚本漏洞都可以防护。

1、SQL注入防护和XSS跨站攻击防护

『护卫神·防入侵系统』自带的SQL注入防护模块（如图一）除了拦截SQL注入，还可以拦截XSS跨站脚本（如图二），一并解决Chamilo的其他安全漏洞，拦截效果如图三。

（图一：Chamilo防护SQL注入攻击）

（图二：Chamilo防护XSS跨站脚本攻击）

（图三：SQL注入拦截效果）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网站安全说 技术部 技术部《Chamilo存在SQL注入漏洞（CNVD-2026-13257，CVE-2025-50190）》