Risque

  • Contournement de la politique de sécurité ;
  • accès non autorisé ;
  • injection SQL ;
  • atteinte à la confidentialité des données ;
  • injection de requêtes illégitimes par rebond.

Systèmes affectés

  • Moodle versions 1.8.x antérieures à 1.8.11 ;
  • Moodle versions 1.9.x antérieures à 1.9.7.

Résumé

De multiples vulnérabilités dans Moodle permettent notamment de se connecter en tant qu'administrateur.

Description

De multiples vulnérabilités ont été découvertes dans Moodle. La plupart d'entre elles concernent la protection des identifiants de connexion et peuvent être exploitées afin de se connecter en tant que d'administrateur. D'autres vulnérabilités permettent de réaliser des injections SQL ou des injections de requêtes illégitimes par rebond (attaques de type CSRF).

Solution

Mettre Moodle à jour en version 1.8.11 ou 1.9.7 (cf. section Documentation).

Documentation