UEM

AKIBANA

Informática, Análisis de Datos, Gadgets y Nuevas Tecnologías

Una vulnerabilidad crítica en Moodle permite a estudiantes cambiar sus notas

Enrique Puertas Director del Master Universitario en Big Data Analytics Blog AKIBANA Publicado 22 Marzo 2017

Se acaba de descubrir una vulnerabilidad crítica en la plataforma educativa Moodle, que permite a un usuario ejecutar código php en el servidor en dónde se aloja la plataforma, y tener acceso a las bases de datos en dónde se almacena la información de usuarios y cursos. Prácticamente todas las versiones de Moodle se verían afectadas por este problema.

Moodle es una plataforma de contenidos educativos utilizada por decenas de miles de centros y universidades en todo el mundo, incluyendo algunas de las más importantes. Esta semana, el investigador Netanel Rubin ha publicado un artículo en el que describe la vulnerabilidad y cómo explotarla. En su blog detalla como un usuario normal, sin permisos de administración, podría a través de la interfaz web realizar el ataque. Descubrió que es posible utilizar el método “update” del sistema para modificar los datos de cualquier entrada en las bases de datos de Moodle afectadas por este fallo. Ésto permitiría cambiar permisos de administración, contraseñas, la configuración de la plataforma,... básicamente cualquier cosa. 

En particular, un usuario con perfil de estudiante podría utilizar esta vulnerabilidad para tener acceso a la base de datos en dónde se guardan las notas asociadas a las actividades de los cursos, y modificarlas a su antojo.

Rubin informó a los desarrolladores de Moodle del problema y ya se ha sacado un parche que solucionaría el problema. Desde Moodle se anima a los administradores de los sistemas Moodle que descarguen y apliquen el parche lo antes posible.

Más información: Moodle – Remote Code Execution

Compartir en Twitter Compartir en Facebook Share in LinkedIn
Comentarios
Deja un comentario
Posts relacionados
20Diciembre
Leer más

¿Qué es innovar? Cinco consejos aplicables a entornos sociales

Andrés Pina Media Relations and CSR Manager

Blog El blog del experto

El pasado viernes celebrábamos en el Campus de Alcobendas el “I Encuentro de Ganadores de los Leer más

lotería de Navidad
21Diciembre
Leer más

¿Qué probabilidades tengo de que me toque la lotería de Navidad?

Universidad Europea administrador

Blog El blog del experto

Como todos los años llega la Navidad y con ella la esperada lotería de Navidad, y es que en estas fechas se celebra el sorteo...

Leer más
22Diciembre
Leer más

Consumo responsable en Navidad

Universidad Europea administrador

Blog El blog del experto

Las Navidades se celebran en compañía, pero la cuesta de Enero se tiene que superar en solitario, o al menos esto es lo que nos sucede a la...

Leer más