29 août 2024 Avis : RCE sur les questions calculées de Moodle [CVE-2024-43425].

Date de divulgation: 27 août 2024

CVE-ID: CVE-2024-43425

Nom et description du problème: Vulnérabilité d'exécution de code à distance dans les questions calculées de Moodle

Description de l'actif: Moodle est un système de gestion de l'apprentissage (LMS) open-source largement utilisé dans les établissements d'enseignement, les entreprises et les organisations gouvernementales du monde entier. Il fournit une plateforme complète pour créer et gérer des cours en ligne, fournir du contenu, faciliter les discussions et évaluer les progrès des étudiants.

Impact de la vulnérabilité: Un acteur menaçant peut exploiter la vulnérabilité CVE-2024-43425 pour exécuter du code arbitraire sur les instances Moodle affectées par le biais de types de questions calculées. Cette vulnérabilité présente un risque important, pouvant conduire à des accès non autorisés, à des violations de données et à la compromission complète du système si elle est exploitée.

Détails de l'exploitation: CVE-2024-43425 est une vulnérabilité dans Moodle qui provient d'une mauvaise gestion des types de questions calculées. Un attaquant ayant la possibilité de créer ou d'éditer des types de questions calculées pourrait exploiter cette faille pour injecter du code malveillant, conduisant à l'exécution de code à distance sur le serveur. Cette vulnérabilité est particulièrement préoccupante car elle permet à des utilisateurs authentifiés disposant de privilèges spécifiques d'exécuter du code arbitraire, ce qui peut compromettre l'ensemble du système.

Plusieurs PoC ont été publiés sur GitHub.

Disponibilité du correctif: Moodle a publié des correctifs pour remédier à cette vulnérabilité, en particulier les versions 4.4.2, 4.3.6, 4.2.9 et 4.1.12. Les instances doivent être mises à jour immédiatement avec la dernière version corrigée.

Censys Perspective :

À l'heure où nous écrivons ces lignes, Censys observe 238 205 appareils exposés en ligne.

Pour identifier les instances Moodle potentiellement vulnérables (la majorité d'entre elles n'affichent pas leur version), les requêtes suivantes Censys peuvent être utilisées :

• Censys Recherche: services.software.product : Moodle
• Censys Requête ASM: host.services.software.product : Moodle ou web_entity.instances.software.product : Moodle
• Censys ASM Risk Query: risks.name : "Vulnérabilité RCE de Moodle [CVE-2024-43425]"

Références :

• https://moodle.org/mod/forum/discuss.php?d=461193

• https://github.com/RedTeamPentesting/moodle-rce-calculatedquestions