Se ha publicado un error en la
plataforma educativa Moodle que podría permitir la ejecución remota de código
Moodle es una popular plataforma
educativa de código abierto que permite a los educadores crear y gestionar
tanto usuarios como cursos de modalidad e-learning. Además proporciona
herramientas para la comunicación entre formadores y alumnos.
Existe un error al importar un
cuestionario de tipo 'arrastrar y soltar en el texto' (ddwtos) en formato XML,
debido a una falta de comprobación en una función 'unserialize'. Esto podría
causar una inyección de objetos PHP y conducir a una ejecución remota de código
arbitrario.
Es necesario disponer de permisos para
crear un cuestionario o importar preguntas para poder aprovechar esta
vulnerabilidad. Aunque estos permisos los tienen los profesores, cabe destacar
que es posible asignar el rol de 'profesor' un usuario 'estudiante' para un
determinado curso, con lo cual estaría en posición de explotar este error.
Además, una plataforma Moodle también
podría verse afectada de manera no intencionada si se importan cuestionarios o
preguntas desde fuentes que no son de confianza.
Se propone la siguiente prueba de
concepto que ejecuta el comando ‘whoami’ como demostración de la
vulnerabilidad.
Esta vulnerabilidad, identificada como
CVE-2018-14630, ha sido descubierta por Johannes Moritz. Ha sido catalogada
como seria por la propia plataforma y afecta a todas las versiones anteriores a
las siguientes: 3.1.14, 3.3.8, 3.4.5, y 3.5.2, en las cuales se ha corregido.
Más información:
·
MSA-18-0017:
Moodle XML import of ddwtos could lead to intentional remote code execution: https://moodle.org/mod/forum/discuss.php?d=376023
·
Remote
code execution via PHP unserialize in Moodle (CVE-2018-14630): https://www.sec-consult.com/en/blog/advisories/remote-code-execution-php-unserialize-moodle-open-source-learning-platform-cve-2018-14630/
·
Moodle
downloads: https://download.moodle.org/
Fuente:
Hispasec