Positive Technologies помогла устранить две уязвимости в популярной системе управления обучением Moodle

Эксперт Positive Technologies Алексей Соловьев обнаружил опасные уязвимости в Moodle — одной из самых распространенных систем для организации обучения. Это решение с открытым исходным кодом применяют для дистанционного и очного обучения в школах и вузах, на курсах и корпоративных тренингах. В России продукт используют свыше 5,7 тысяч организаций. На рынке вузовских систем управления обучением Moodle доминирует в большинстве регионов: в Латинской Америке ее доля составляет 73%, в Европе — 69%, в Океании и Австралии — 56%, в Северной Америке — 16%. Производитель был уведомлен об ошибках в рамках политики ответственного разглашения, и выпустил обновления безопасности.

«При успешной эксплуатации этих уязвимостей и развитии атаки злоумышленник потенциально мог бы остановить учебный процесс в организации, исказить информацию для учащихся, получить доступ к базе данных или выполнить произвольный код на сервере. Систему используют десятки тысяч учебных заведений, а также крупнейшие компании мира, поэтому важно в кратчайшие сроки устранить уязвимости», — рассказал Алексей Соловьев, старший специалист группы анализа защищенности веб-приложений компании Positive Technologies.

Уязвимости CVE-2024-33997 (BDU:2024-04201) и CVE-2024-33998 (BDU:2024-04202) получили одинаковую оценку — 6,8 баллов по шкале CVSS v3. Недостатки безопасности относятся к типу хранимых XSS и позволяют злоумышленникам выполнять произвольный код на языке JavaScript в браузере жертвы. С помощью найденных уязвимостей атакующий с минимальными привилегиями мог бы внедрить произвольный код и сохранить его на сервере, а затем спровоцировать администратора Moodle на выполнение определенных действий для запуска внедренного кода и полной компрометации системы.

По мнению эксперта, причина появления подобных и многих других уязвимостей — недостаточная или отсутствующая санитизация[1] данных.

[1] Санитизация — преобразование входных строковых данных в вид, безопасный для их использования в качестве выходных (например, с помощью методов HTMLEncode, URLEncode, addslashes и т. п.).