Moodle CMS中的缺陷将数千个电子学习网站造成风险
福特认为超越汽车以用于未来的流动性
Crest报告亮点需要Bug Bounty最佳实践
AWS遵循Google,保留实例灵活性更改
Powerghost Cryptominer的支架,警告卡巴斯基实验室
大多数英国公司没有投保数据违规行为
森林假期如何将其托管网站迁移到托管服务
伟大的计划,推特:'让我们复活一个旧的过时的应用程序,让人付钱'
在雅虎的俄罗斯黑客内:他们是如何做到的
LEEDS NHS信任誓言到2019年将其传真机转储
商业电子邮件妥协急剧上升
首席执行官由董事会封锁,希望快速数字转机
谷歌透露了在周二延迟之后未被批量的IE漏洞
亚特萨斯人搬迁以整合其Trello收购
沃达丰准备LTE月亮拍摄 - 字面上
FCA警告,在不与欧盟分享数据的情况下无法管理财务犯罪风险
Windows 10,2月边缘使用寿命稳定
尽管有安全福利,PCI DSS合规性均落下
ARRIVA ITSM实施超出了预期
Facebook,Microsoft使用新的AI服务器设计更快的服务更快
微软扩展了通过专利许可的连接车推送
近40%的IT专业人士表示,公司不是解决多样性
英特尔的移动未来是在它埋葬原子失败时燃烧的调制解调器
苹果:Mac和iPhone是从新透露的CIA漏洞中安全的安全
Mingis关于Tech:瘦身上的自驾车,无线iPhone充电和Wi-Fi灯
IT部门建议瑞典政府对选举和投票制度
Minn。警方寻求谁忘了受害者姓名的数据
谷歌的Jamboard将花费5,000美元并送到美国5月份
内阁办公室将私有云交易扩展到UKFAST维护紧急通讯
奥卡多如何扰乱自己的模型
VMware首次亮相AWS在澳大利亚的VMware云,削减了入口价格
LastPass修复了严重的密码泄漏漏洞
IFG报告说,Cunnington作为DDAT需要改变的功能负责人的角色
IBM-Salesforce交易将使Watson数据带入应用程序
荷兰医疗保健机构需要像科技部门一样思考
CIA Wikileaks Dump Bares IOS安全弱点后,Cisco问题批判性警告
利亚姆麦克斯韦互动政府
优步拒绝索赔它偷走了Waymo的自动驾驶汽车技术
Microsoft通过Scratch取代了用于安装Windows 7的复杂技术
计算机崩溃可能是由于我们太阳系超出的力量
北爱尔兰部署患者门户
GDPR案例工作沼泽丹麦的数据保护机构
苹果说,泄露的icloud凭据来自第三方来了
Google Cloud平台为世界杯风扇提供更快的移动通知
Apple,SAP为iOS发布“开发人为中心”的工具
DFT承诺将在2022年度在中小企业花费三分之一的采购预算
公共云使用DDOS攻击者之间的潮流,研究表演
Android 8.0'O' - 我们到目前为止所知道的
C ++ Toolkit有助于缩短AI应用程序的路径
谷歌面临土耳其新的反垄断调查
您的位置:首页 >电子新闻 >

Moodle CMS中的缺陷将数千个电子学习网站造成风险

2021-08-12 09:44:03 [来源]:

使用流行的Moodle学习管理系统的组织应尽快部署最新补丁,因为它们修复了可能允许攻击者接管Web服务器的漏洞。

Moodle是学校,大学和其他组织使用的开源平台,以便与互动在线课程建立网站。它使用来自234个国家的超过78,000个电子学习网站,共同拥有超过1亿用户。

一周前,Moodle开发人员发布了仍然支持的平台分支机构的更新:3.2.2,3.1.5,3.0.9和2.7.19。发行说明提到说“一些安全相关问题得到解决,但”但没有提供有关其性质或影响的任何其他细节。

星期一,缺陷的严重程度是明显的,当时发现漏洞的安全研究员Netanel Rubin发布了详细的博客文章。他们似乎对自己似乎过于批评,但是在组合时,它们允许攻击者在底层服务器上创建隐藏的管理帐户并在底层服务器上执行恶意PHP代码。

该漏洞利用开发人员提出的一些虚假假设,它将其描述为逻辑缺陷,对象喷射,双SQL注入和过度允许的管理仪表板。

逻辑问题源于一定功能的重新实现,而不考虑原始功能的开发人员所做的决定。据研究人员说,这是“拥有太多的代码,太多的开发人员和缺乏文件。”

“请记住,逻辑漏洞可以在几乎所有具有大代码基础的系统中发生,”Rubin说。“大代码基础的安全问题当然不是Moodle特定的。”

有点限制缺陷的影响的一个因素是利用他们需要在目标网站上的帐户。虽然考虑这些网站有多少注册用户,但这不是一个障碍。

在Moodle平台上获得的行政权限不仅危险,因为攻击者可以通过上传恶意插件或模板来安装PHP后门,而且因为Moodle安装存储有关在线课程的学生的敏感和私人信息。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。