Moodle CMS中的缺陷将数千个电子学习网站造成风险
2021-08-12 09:44:03 [来源]:
使用流行的Moodle学习管理系统的组织应尽快部署最新补丁,因为它们修复了可能允许攻击者接管Web服务器的漏洞。
Moodle是学校,大学和其他组织使用的开源平台,以便与互动在线课程建立网站。它使用来自234个国家的超过78,000个电子学习网站,共同拥有超过1亿用户。
一周前,Moodle开发人员发布了仍然支持的平台分支机构的更新:3.2.2,3.1.5,3.0.9和2.7.19。发行说明提到说“一些安全相关问题得到解决,但”但没有提供有关其性质或影响的任何其他细节。
星期一,缺陷的严重程度是明显的,当时发现漏洞的安全研究员Netanel Rubin发布了详细的博客文章。他们似乎对自己似乎过于批评,但是在组合时,它们允许攻击者在底层服务器上创建隐藏的管理帐户并在底层服务器上执行恶意PHP代码。
该漏洞利用开发人员提出的一些虚假假设,它将其描述为逻辑缺陷,对象喷射,双SQL注入和过度允许的管理仪表板。
逻辑问题源于一定功能的重新实现,而不考虑原始功能的开发人员所做的决定。据研究人员说,这是“拥有太多的代码,太多的开发人员和缺乏文件。”
“请记住,逻辑漏洞可以在几乎所有具有大代码基础的系统中发生,”Rubin说。“大代码基础的安全问题当然不是Moodle特定的。”
有点限制缺陷的影响的一个因素是利用他们需要在目标网站上的帐户。虽然考虑这些网站有多少注册用户,但这不是一个障碍。
在Moodle平台上获得的行政权限不仅危险,因为攻击者可以通过上传恶意插件或模板来安装PHP后门,而且因为Moodle安装存储有关在线课程的学生的敏感和私人信息。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。