Vulnerabilidad

Vulnerabilidad alta en Moodle

El grupo de investigadores de ciberseguridad RedTeam Pentesting GmbH ha detectado y hecho pública la vulnerabilidad del tipo Remote Code Execution (RCE) en la plataforma de aprendizaje Moodle (CVE-2024-43425)(CVSS:3.1=8.1) que afecta a las versiones 4.4 y anteriores. Esta situación permite a un atacante la ejecución remota de código a través de tipos de preguntas calculadas.
Vulnerabilidad en Moodle

CVE-2024-43425

La vulnerabilidad permite la ejecución de código remoto a través de inyecciones en campos específicos diseñados para realizar cálculos matemáticos.

La función definida como calculate del fichero question.php presenta un error de diseño, el cual permite ejecutar funciones de php al no validar la entrada de usuario.

La vulnerabilidad radica en abusar del flujo de la función calculate la cual, al generar un error, hace un salto hacia la función qtype_calculated_find_formula_errors la cual termina en una función eval. Al enviar como entrada una función de php, la misma es ejecutada por el intérprete de comandos de php, generando de esta forma la ejecución de código remoto.

Productos afectados

  • Moodle 4.4 -  4.4.1

  • Moodle 4.3 -  4.3.5

  • Moodle 4.2 -  4.2.8

  • Moodle 4.1 -  4.1.11

  • Versiones anteriores fuera de soporte.

Mitigación

Moodle ha liberado una actualización para corregir el fallo de seguridad y se insta a los administradores a realizar la actualización correspondiente. Las versiones mitigadas son: 4.4.2, 4.3.6, 4.2.9 y 4.1.12.

Recomendaciones

Se insta actualizar a la última versión disponible y analizar trazas de auditoría en búsqueda de explotación.

Referencias

Foro de Moodle

Aviso de RedTeam Pentesting Gmb

Etiquetas