Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.
Existe un error al importar un cuestionario de tipo 'arrastrar y soltar en el texto' (ddwtos) en formato XML, debido a una falta de comprobación en una función 'unserialize'. Esto podría causar una inyección de objetos PHP y conducir a una ejecución remota de código arbitrario.
Es necesario disponer de permisos para crear un cuestionario o importar preguntas para poder aprovechar esta vulnerabilidad. Aunque estos permisos los tienen los profesores, cabe destacar que es posible asignar el rol de 'profesor' un usuario 'estudiante' para un determinado curso, con lo cual estaría en posición de explotar este error.
Además, una plataforma Moodle también podría verse afectada de manera no intencionada si se importan cuestionarios o preguntas desde fuentes que no son de confianza.
Se propone la siguiente prueba de concepto que ejecuta el comando ‘whoami’ como demostración de la vulnerabilidad.
 |
| Prueba de concepto |
Esta vulnerabilidad, identificada como CVE-2018-14630, ha sido descubierta por Johannes Moritz. Ha sido catalogada como seria por la propia plataforma y afecta a todas las versiones anteriores a las siguientes: 3.1.14, 3.3.8, 3.4.5, y 3.5.2, en las cuales se ha corregido.
Juan José Ruiz
jruiz @ hispasec.com
jruiz @ hispasec.com
Más información:
MSA-18-0017: Moodle XML import of ddwtos could lead to intentional remote code execution:
https://moodle.org/mod/forum/discuss.php?d=376023
Remote code execution via PHP unserialize in Moodle (CVE-2018-14630):
