UEM

AKIBANA

Informática, Análisis de Datos, Gadgets y Nuevas Tecnologías

Una vulnerabilidad crítica en Moodle permite a estudiantes cambiar sus notas

Enrique Puertas Director del Master Universitario en Big Data Analytics Blog AKIBANA Publicado 22 Marzo 2017

Se acaba de descubrir una vulnerabilidad crítica en la plataforma educativa Moodle, que permite a un usuario ejecutar código php en el servidor en dónde se aloja la plataforma, y tener acceso a las bases de datos en dónde se almacena la información de usuarios y cursos. Prácticamente todas las versiones de Moodle se verían afectadas por este problema.

Moodle es una plataforma de contenidos educativos utilizada por decenas de miles de centros y universidades en todo el mundo, incluyendo algunas de las más importantes. Esta semana, el investigador Netanel Rubin ha publicado un artículo en el que describe la vulnerabilidad y cómo explotarla. En su blog detalla como un usuario normal, sin permisos de administración, podría a través de la interfaz web realizar el ataque. Descubrió que es posible utilizar el método “update” del sistema para modificar los datos de cualquier entrada en las bases de datos de Moodle afectadas por este fallo. Ésto permitiría cambiar permisos de administración, contraseñas, la configuración de la plataforma,... básicamente cualquier cosa. 

En particular, un usuario con perfil de estudiante podría utilizar esta vulnerabilidad para tener acceso a la base de datos en dónde se guardan las notas asociadas a las actividades de los cursos, y modificarlas a su antojo.

Rubin informó a los desarrolladores de Moodle del problema y ya se ha sacado un parche que solucionaría el problema. Desde Moodle se anima a los administradores de los sistemas Moodle que descarguen y apliquen el parche lo antes posible.

Más información: Moodle – Remote Code Execution

Compartir en Twitter Compartir en Facebook Share in LinkedIn
Comentarios
Deja un comentario
Posts relacionados
Cómo sincronizar calendarios Google Calendar y Outlook 365 con IFTTT
10Diciembre
Leer más

Cómo sincronizar calendarios Google Calendar y Outlook 365 con IFTTT

Enrique Puertas Director del Master Universitario en Big Data Analytics

Blog AKIBANA

Hoy en día es muy habitual trabajar con varios equipos a lo largo del día. No es raro encontrar gente que maneja diariamente dos o más...

Leer más
12Diciembre
Leer más

Descubren una técnica que permite hackear tarjetas de crédito en 6 segundos

Enrique Puertas Director del Master Universitario en Big Data Analytics

Blog AKIBANA

Si alguna vez has hecho una compra por internet sabrás que para poder pagar con tu tarjeta de crédito o débito, además del número de...

Leer más
19Diciembre
Leer más

Cómo sabe Google dónde has sacado una foto (sin usar GPS)

Enrique Puertas Director del Master Universitario en Big Data Analytics

Blog AKIBANA

Hoy en día la mayoría de smartphones y cámaras de fotos tienen la posibilidad de geolocalizar las fotos, es decir, añadir información...

Leer más