🕵♂ Эксперт Positive Technologies Алексей Соловьев обнаружил опасные уязвимости в Moodle
Это одна из самых распространенных систем для организации обучения, в которой зарегистрировано более 416 млн пользователей из 218 стран. В России продукт используют свыше 5,7 тысяч организаций.
Эксплуатация уязвимостей может происходить авторизованным пользователем: они могли быть использованы для атак на университеты, школы и учащихся по всему миру. Производитель был уведомлен об ошибках в рамках политики ответственного разглашения и выпустил обновления безопасности: https://vk.cc/cAPVM9
Обнаруженные недостатки — CVE-2024-33997 (BDU:2024-04201) и CVE-2024-33998 (BDU:2024-04202) — получили одинаковую оценку: 6,8 балла по шкале CVSS v3.
«При успешной эксплуатации этих уязвимостей и развитии атаки злоумышленник потенциально мог бы остановить учебный процесс в организации, исказить информацию для учащихся, получить доступ к базе данных или выполнить произвольный код на сервере», — отметил Алексей Соловьев, старший специалист группы анализа защищенности веб-приложений Positive Technologies.
💡 По мнению эксперта, причина появления подобных и многих других уязвимостей — недостаточная санитизация данных (преобразование входных строковых данных в вид, безопасный для их использования в качестве выходных) или ее отсутствие.
#PositiveЭксперты