Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Moodle-n

Argitalpen data: 2018/05/25

Garrantzia: Handia

Kaltetutako baliabideak:

Ondoko bertsioak izan dira kaltetuak:

  • 3.4tik 3.4.2ra bitartekoak.
  • 3.3tik 3.3.5era bitartekoak.
  • 3.2tik 3.2.8ra bitartekoak.
  • 3.1etik 3.1.11ra bitartekoak.
  • eta laguntza teknikorik gabeko lehenagoko bertsioak.

Azalpena:

Moodlen 6 ahultasun aurkitu dira, hiru kritikotasun altukoak eta beste hiru kritikotasun baxukoak. Ahultasun horiek baliatuz sisteman baimenak dituen erasotzaile batek plataformatik informazioa eskura lezake, zerbitzarian kodea exekutatu, plataformaren ataletara baimenik gabeko sarbidea izan eta zerbitzuaren ukapen egoera bat sortu.

Konponbidea:

Erabiltzaileen esku jarri dira hainbat eguneraketa, bertsio bakoitzaren arabera. Ondokoak dira:

  • 3.5, 3.4.3, 3.3.6, 3.2.9 y 3.1.12

Xehetasuna:

Kritikotasun altuko ahultasunak ondokoak dira:

  • Erasotzaile batek erabiltzaileen porfolioetan URLa ordezka lezake eta horren bidez edozein klase instantziatu lezake. Hori erabiltzaile gonbidatuek ere egin lezakete, zerbitzuaren ukapen egoera sortuz.
  • Sistemaren kredentzialak lituzkeen erasotzaile batek HTML blokeak gehi litzake scriptekin bere dashboard pertsonalean. Horrek eragin lezake beste orrialde batzuetarako sarbidea, eta horrela gainerako erabiltzaileek blokeak ikusi ahal izango lituzkete.
  • Plataforman irakasle kredentzialak lituzkeen erasotzaile batek kodea exekuta lezake zerbitzarian.

Etiketak: Eguneraketa, Ahultasuna