漏洞可允许攻击者获取行政特权并网服务器执行恶意PHP代码
使用广受欢迎的Moodle学习管理系统的组织应尽快部署最新补丁,因为它们修复漏洞,使攻击者能够接管网络服务器
Moodle系统是一个开源平台,供学校、大学和其他组织使用建立网站并提供交互式在线课程超过78,000电子学习网站使用 234个国家共拥有超过1亿用户
一周前Moodle开发商发布更新平台持续支持分支:3.2.2、3.1.5、3.0.9和2.7.19发布注解表示“数个安全相关问题解决了”,
漏洞的严重性在周一变得显眼, 安全研究者NetaneRubin发现漏洞后发布详解博客文章关于他们的并容攻击者创建隐藏行政账号 并下端服务器执行恶意PHP代码
利用开发者的一些假假设,Rubin描述为逻辑缺陷、对象注入、双重SQL注入和过分容错行政仪表板
逻辑问题出自重实施函数而不计原函数开发者决策研究者表示,它的结果是“代码过多,开发者过多并缺少文档”。
Rubin说 : “ 记住逻辑漏洞可能并会发生在所有系统内,并配有大代码库中, Rubin说 。大代码库安全问题当然不是Moodle专用
部分限制缺陷作用的一个因素是,利用缺陷需要在目标网站上记账网站注册用户数不高,
获取Moodle平台管理特权不仅危险, 因为攻击者上传恶意插件或模板可安装PHP后门,