Datum der Offenlegung: August 27, 2024
CVE-ID: CVE-2024-43425
Name und Beschreibung des Problems: Moodle Calculated Questions - Sicherheitslücke bei der Remotecodeausführung
Asset-Beschreibung: Moodle ist ein Open-Source-Lernmanagementsystem (LMS), das weltweit in Bildungseinrichtungen, Unternehmen und Regierungsorganisationen eingesetzt wird. Es bietet eine umfassende Plattform für die Erstellung und Verwaltung von Online-Kursen, die Bereitstellung von Inhalten, die Moderation von Diskussionen und die Bewertung des Lernfortschritts.
Auswirkungen der Schwachstelle: Ein Bedrohungsakteur könnte CVE-2024-43425 ausnutzen, um durch berechnete Fragetypen beliebigen Code auf betroffenen Moodle-Instanzen auszuführen. Diese Sicherheitsanfälligkeit stellt ein erhebliches Risiko dar, das bei Ausnutzung zu unbefugtem Zugriff, Datenverletzungen und vollständiger Systemkompromittierung führen kann.
Details zur Ausnutzung: CVE-2024-43425 ist eine Sicherheitslücke in Moodle, die durch eine unsachgemäße Handhabung von berechneten Fragetypen entsteht. Ein Angreifer, der in der Lage ist, berechnete Fragetypen zu erstellen oder zu bearbeiten, könnte diese Schwachstelle ausnutzen, um bösartigen Code einzuschleusen, was zu Remotecodeausführung auf dem Server führt. Diese Schwachstelle ist besonders besorgniserregend, da sie es authentifizierten Benutzern mit bestimmten Rechten ermöglicht, beliebigen Code auszuführen und so möglicherweise das gesamte System zu kompromittieren.
Auf GitHub sind mehrere PoCs veröffentlicht.
Patch-Verfügbarkeit: Moodle hat Patches veröffentlicht, um diese Sicherheitslücke zu schließen, insbesondere die Versionen 4.4.2, 4.3.6, 4.2.9 und 4.1.12. Die Instanzen sollten sofort auf die neueste gepatchte Version aktualisiert werden.
Censys Perspektive:
Zum Zeitpunkt der Erstellung dieses Berichts beobachtet Censys 238.205 exponierte Geräte online.
Um potentiell verwundbare Moodle-Instanzen zu identifizieren (die meisten zeigen ihre Version nicht an), können die folgenden Censys Abfragen verwendet werden:
Referenzen:
