📄 الوصف (الإنجليزية)
A flaw has been found in Campcodes Complete Online Learning Management System 1.0. This impacts the function add_lesson of the file /application/models/Crud_model.php. This manipulation causes unrestricted upload. It is possible to initiate the attack remotely. The exploit has been published and may be used.
🤖 ملخص AI
CVE-2026-5546 is a medium-severity unrestricted file upload vulnerability in Campcodes Complete Online Learning Management System 1.0 affecting the lesson addition functionality. The flaw allows remote attackers to upload arbitrary files without proper validation, potentially leading to remote code execution or malware distribution. While no patch is currently available and exploit code has been published, the vulnerability poses significant risk to educational institutions and e-learning platforms in Saudi Arabia.
📄 الوصف (العربية)
🤖 التحليل الذكي آخر تحليل: May 19, 2026 03:17
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily impacts Saudi educational institutions, universities, and e-learning platforms utilizing Campcodes LMS. High-risk sectors include: Ministry of Education institutions, private universities, online training providers, and corporate learning platforms. Secondary impact on government agencies using e-learning for employee training. The unrestricted upload capability could enable attackers to compromise student data, inject malicious content into educational materials, or establish persistent backdoors within institutional networks. Organizations in the education sector and those subject to SAMA oversight for digital services are particularly vulnerable.
🏢 القطاعات السعودية المتأثرة
Education
Government
Healthcare
Corporate Training
E-Learning Platforms
🎯 تقنيات MITRE ATT&CK
⚖️ درجة المخاطر السعودية (AI)
6.8
/ 10.0
🔧 Remediation Steps (English)
Immediate Actions:
1. Identify all instances of Campcodes Complete Online Learning Management System 1.0 in your environment
2. Restrict access to the /application/models/Crud_model.php file and lesson management functions using web application firewall (WAF) rules
3. Implement file upload restrictions at the application level:
- Whitelist only permitted file types (PDF, DOCX, PPTX, images)
- Validate file extensions and MIME types server-side
- Store uploads outside web root directory
- Rename uploaded files with random identifiers
4. Monitor upload directories for suspicious files using antivirus/EDR solutions
5. Review access logs for unauthorized upload attempts
6. Implement strict input validation on the add_lesson function
7. Contact Campcodes for security updates or consider migrating to patched LMS alternatives
8. Deploy WAF rules to block POST requests to /application/models/Crud_model.php with suspicious payloads
Detection Rules:
- Alert on file uploads with executable extensions (.php, .exe, .sh, .jsp)
- Monitor for unusual file sizes in upload directories
- Track failed authentication attempts followed by upload attempts
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تحديد جميع نسخ نظام إدارة التعلم الإلكتروني الكامل من Campcodes الإصدار 1.0 في بيئتك
2. تقييد الوصول إلى ملف /application/models/Crud_model.php ووظائف إدارة الدروس باستخدام قواعد جدار حماية تطبيقات الويب
3. تطبيق قيود تحميل الملفات على مستوى التطبيق:
- إنشاء قائمة بيضاء بأنواع الملفات المسموحة فقط (PDF، DOCX، PPTX، الصور)
- التحقق من امتدادات الملفات وأنواع MIME على جانب الخادم
- تخزين التحميلات خارج دليل الويب الجذر
- إعادة تسمية الملفات المحملة بمعرفات عشوائية
4. مراقبة أدلة التحميل للملفات المريبة باستخدام حلول مكافحة الفيروسات
5. مراجعة سجلات الوصول لمحاولات التحميل غير المصرح بها
6. تطبيق التحقق الصارم من المدخلات على وظيفة add_lesson
7. الاتصال بـ Campcodes للحصول على تحديثات الأمان أو النظر في الهجرة إلى بدائل LMS معدلة
8. نشر قواعد WAF لحظر طلبات POST إلى /application/models/Crud_model.php مع حمولات مريبة
قواعد الكشف:
- تنبيه عند تحميل ملفات بامتدادات قابلة للتنفيذ (.php، .exe، .sh، .jsp)
- مراقبة أحجام الملفات غير العادية في أدلة التحميل
- تتبع محاولات المصادقة الفاشلة متبوعة بمحاولات التحميل
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.12.4.1 - Event logging and monitoring of file uploads
ECC 2024 A.14.2.1 - Secure development and change management
ECC 2024 A.14.2.5 - Secure coding practices and input validation
🔵 SAMA CSF
SAMA CSF ID.BE-1 - Asset management and inventory control
SAMA CSF PR.DS-2 - Data security and file integrity
SAMA CSF DE.CM-1 - Detection and monitoring of anomalous activities
🟡 ISO 27001:2022
ISO 27001:2022 A.5.23 - Information security for supplier relationships
ISO 27001:2022 A.8.3 - Segregation of duties
ISO 27001:2022 A.14.2.1 - Secure development policy
ISO 27001:2022 A.14.2.5 - Secure coding practices
🟣 PCI DSS v4.0.1
PCI DSS 6.5.8 - Improper access control (if payment data accessible)
PCI DSS 6.5.1 - Injection flaws