Luka w Moodle, możliwe zdalne wykonanie kodu PHP

Dodane przez Adrian Ścibor - śr., 22-03-2017 - 09:41

Luka (CVE-2017-2641) w zabezpieczeniach serwera Moodle – popularnej e-learningowej platformy stosowanej na wielu uczelniach na całym świecie (MIT, Stanford, Cambridge, Oxford) umożliwia atakującemu wykonanie kodu PHP (SQL Injection) użytkownikowi bez specjalnych uprawnień – nie ma znaczenia, czy będzie to „użytkownik”, czy „admin”.Dane przechowywane przez Moodle mogą składać się na oceny z testów i prywatne dane studentów, dlatego przestępcy zainteresowali się tą specyficzną odmianą systemów do zarządzania treścią. Podatne są niemal wszystkie wersje:

  • 3.2 do 3.2.1,
  • 3.1 do 3.1.4,
  • 3.0 do 3.0.8,
  • 2.7.0 do 2.7.18
  • i starsze.

Na zastosowaniu podatności szczególnie może zależeć studentom, którzy mogą zmienić swoje oceny z testów.