Risques
- Accès non autorisé
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Injection de requêtes illégitimes par rebond (CSRF)
- Injection SQL
Systèmes affectés
- Moodle versions 1.8.x antérieures à 1.8.11 ;
- Moodle versions 1.9.x antérieures à 1.9.7.
Résumé
De multiples vulnérabilités dans Moodle permettent notamment de se connecter en tant qu'administrateur.
Description
De multiples vulnérabilités ont été découvertes dans Moodle. La plupart d'entre elles concernent la protection des identifiants de connexion et peuvent être exploitées afin de se connecter en tant que d'administrateur. D'autres vulnérabilités permettent de réaliser des injections SQL ou des injections de requêtes illégitimes par rebond (attaques de type CSRF).
Solution
Mettre Moodle à jour en version 1.8.11 ou 1.9.7 (cf. section Documentation).
Documentation
- Bulletins de sécurité Moodle MSA-09-022 à MSA-09-031 du 02 décembre 2009 : http://moodle.org/security/
- Téléchargement des versions 1.8.11 et 1.9.7 de Moodle : http://download.moodle.org/