lunes, 24 de septiembre de 2018
Se ha publicado un error en la plataforma educativa Moodle que podría permitir la ejecución remota de código

Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

Existe un error al importar un cuestionario de tipo 'arrastrar y soltar en el texto' (ddwtos) en formato XML, debido a una falta de comprobación en una función 'unserialize'. Esto podría causar una inyección de objetos PHP y conducir a una ejecución remota de código arbitrario.

Es necesario disponer de permisos para crear un cuestionario o importar preguntas para poder aprovechar esta vulnerabilidad. Aunque estos permisos los tienen los profesores, cabe destacar que es posible asignar el rol de 'profesor' un usuario 'estudiante' para un determinado curso, con lo cual estaría en posición de explotar este error.

Además, una plataforma Moodle también podría verse afectada de manera no intencionada si se importan cuestionarios o preguntas desde fuentes que no son de confianza.

Se propone la siguiente prueba de concepto que ejecuta el comando ‘whoami’ como demostración de la vulnerabilidad.

Prueba de concepto

Esta vulnerabilidad, identificada como CVE-2018-14630, ha sido descubierta por Johannes Moritz. Ha sido catalogada como seria por la propia plataforma y afecta a todas las versiones anteriores a las siguientes: 3.1.14, 3.3.8, 3.4.5, y 3.5.2, en las cuales se ha corregido.

Juan José Ruiz
jruiz @ hispasec.com

Más información:

MSA-18-0017: Moodle XML import of ddwtos could lead to intentional remote code execution:
https://moodle.org/mod/forum/discuss.php?d=376023

Remote code execution via PHP unserialize in Moodle (CVE-2018-14630):
https://www.sec-consult.com/en/blog/advisories/remote-code-execution-php-unserialize-moodle-open-source-learning-platform-cve-2018-14630/

Moodle downloads:
https://download.moodle.org/