Vulnerabilidade crítica do Moodle pode comprometer o servidor

moodle-sql-injection

Uma vulnerabilidade crítica no Moodle, um sistema de gerenciamento de aprendizado baseado em PHP de código aberto implantado em dezenas de escolas e universidades, pode comprometer o servidor.

Dezenas de milhares de universidades em todo o mundo, incluindo a UNICAMP e a USP em São Paulo, usam o serviço para fornecer aos alunos os acompanhamentos do curso, notas e outros dados pessoais.

O problema – uma vulnerabilidade de injeção de SQL – poderia ser usado por um invasor para executar o código PHP no servidor de uma universidade de acordo com Netanel Rubin, o pesquisador que encontrou o bug.

Rubin, que já descobriu vulnerabilidades no sistema de rastreamento de bugs do Mozilla, a plataforma de comércio eletrônico Magento e o WordPress, descreveu o bug em detalhe em um post de blog na segunda-feira.

Moodle publicou detalhes sobre o bug, incluindo seu CVE (CVE-2017-2641) na segunda-feira, alertando que um usuário registrado comum poderia explorar a vulnerabilidade via interface web.

“Cenários semelhantes poderiam ser usados em versões anteriores do Moodle, mas apenas por gerentes / administradores e somente por meio de serviços da web”, lê o assessor.

Os administradores de TI da escola estão sendo encorajados a aplicar um patch que os mantenedores do sistema divulgaram há 10 dias. Uma atualização do início da semana passada, 3.3.2, também inclui a correção.

Esta publicação está na categoria Segurança em Aplicações.

Os comentários estão encerrados.