S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 01 avril 2010
N° CERTA-2010-AVI-150
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Moodle

Gestion du document

Référence CERTA-2010-AVI-150
Titre Multiples vulnérabilités dans Moodle
Date de la première version01 avril 2010
Date de la dernière version01 avril 2010
Source(s) Notes de la version 1.9.8 de Moodle du 25 mars 2010

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Injection de code indirecte à distance
  • Injection SQL

Systèmes affectés

Moodle versions 1.9.7 et antérieures.

Résumé

De multiples vulnérabilités dans Moodle permettent notamment de réaliser des injections SQL et des injections de code indirectes.

Description

De multiples vulnérabilités ont été découvertes dans Moodle. Celles-ci permettent, entre autres, d'obtenir le nom complet des utilisateurs, de réaliser des injections de code indirectes au travers de différents composants ainsi que des injections SQL via le module Wiki.

Solution

Mettre Moodle à jour en version 1.9.8 (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 01 avril 2010
    version initiale.