Alerta de seguridad
Nivel de peligrosidad: Alto
Descripción
Moodle es una plataforma de código abierto orientada a gestionar cursos de formación y es ampliamente utilizada por empresas e instituciones educativas y que suele tener vulnerabilidades que no son parcheadas por los administradores.
Las inyecciones SQL de segundo orden consisten en almacenar la consultas SQL maliciosas en la aplicación sabiendo que luego se va a incorporar a otra consulta de manera insegura. Esto se podría hacer mediante una petición HTTP modificada incluyendo el código a ejecutar.
El investigador "dugisec" ha descubierto esta vulnerabilidad de día cero en el componente para crear medallas perzonalizadas. Estas son asignadas a alumnos una vez completan cursos o tareas.
La complejidad para explotar este fallo de seguridad reside en que es necesario un rol de profesor para poder acceder al componente vulnerable. Así mismo, solo se ejecuta una única vez al activar la medalla ya que no se pueden editar los criterios de las mismas tras la creación. Sin embargo, como consecuencia colateral, esta inyección SQL en Moodle permitiría también almacenar XSS según el investigador.
Recursos afectados
Las versiones comprometidas son todas aquellas que tengan habilitadas el rol de Profesor (teacher).
Mitigación
El equipo de desarrollo de Moodle no ha sido notificado por los canales habituales de reportes de vulnerabilidades, por lo que no han podido corregir la vulnerabilidad antes de la publicación de una prueba de concepto.
Pruebas de concepto
Se ha publicado un exploit de la vulnerabilidad en un en el blog de dugisec.
Recomendaciones
Recomendamos estar atentos a las actualizaciones de seguridad que pueda lanzar Moodle para poder instalarla.