Ejecución de código remoto en Moodle

Iniciado por wolfbcn, 25 Septiembre 2018, 01:56 AM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

Se ha publicado un error en la plataforma educativa Moodle que podría permitir la ejecución remota de código

Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

Existe un error al importar un cuestionario de tipo 'arrastrar y soltar en el texto' (ddwtos) en formato XML, debido a una falta de comprobación en una función 'unserialize'. Esto podría causar una inyección de objetos PHP y conducir a una ejecución remota de código arbitrario.

Es necesario disponer de permisos para crear un cuestionario o importar preguntas para poder aprovechar esta vulnerabilidad. Aunque estos permisos los tienen los profesores, cabe destacar que es posible asignar el rol de 'profesor' un usuario 'estudiante' para un determinado curso, con lo cual estaría en posición de explotar este error.

LEER MAS: https://unaaldia.hispasec.com/2018/09/ejecucion-de-codigo-remoto-en-moodle.html
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.