Добавить новость
Добавить компанию
Добавить мероприятие
Тесты цифровой техники
|
|
|
Positive Technologies помогла устранить две уязвимости в популярной системе управления обучением Moodle
10.09.2024 11:38
версия для печати Эксперт Positive Technologies Алексей Соловьев обнаружил опасные уязвимости в Moodle — одной из самых распространенных систем для организации обучения. Это решение с открытым исходным кодом применяют для дистанционного и очного обучения в школах и вузах, на курсах и корпоративных тренингах. В России продукт используют свыше 5,7 тысяч организаций. На рынке вузовских систем управления обучением Moodle доминирует в большинстве регионов: в Латинской Америке ее доля составляет 73%, в Европе — 69%, в Океании и Австралии — 56%, в Северной Америке — 16%. Производитель был уведомлен об ошибках в рамках политики ответственного разглашения, и выпустил обновления безопасности. «При успешной эксплуатации этих уязвимостей и развитии атаки злоумышленник потенциально мог бы остановить учебный процесс в организации, исказить информацию для учащихся, получить доступ к базе данных или выполнить произвольный код на сервере. Систему используют десятки тысяч учебных заведений, а также крупнейшие компании мира, поэтому важно в кратчайшие сроки устранить уязвимости», — рассказал Алексей Соловьев, старший специалист группы анализа защищенности веб-приложений компании Positive Technologies. Уязвимости CVE-2024-33997 (BDU:2024-04201) и CVE-2024-33998 (BDU:2024-04202) получили одинаковую оценку — 6,8 баллов по шкале CVSS v3. Недостатки безопасности относятся к типу хранимых XSS и позволяют злоумышленникам выполнять произвольный код на языке JavaScript в браузере жертвы. С помощью найденных уязвимостей атакующий с минимальными привилегиями мог бы внедрить произвольный код и сохранить его на сервере, а затем спровоцировать администратора Moodle на выполнение определенных действий для запуска внедренного кода и полной компрометации системы. По мнению эксперта, причина появления подобных и многих других уязвимостей — недостаточная или отсутствующая санитизация[1] данных.
[1] Санитизация — преобразование входных строковых данных в вид, безопасный для их использования в качестве выходных (например, с помощью методов HTMLEncode, URLEncode, addslashes и т. п.). Редактор раздела: Антон Соловьев (info@mskit.ru) Рубрики: Безопасность
наверх
Для того, чтобы вставить ссылку на материал к себе на сайт надо:
|
||||
А знаете ли Вы что?
MSKIT.RU: последние новости Москвы и Центра14.10.2024 Postgres Professional инвестирует 3 млрд рублей в развитие экосистемы продуктов на базе Open Sourceз> 14.10.2024 Мошенники создают поддельные сайты интернет-магазиновз> 11.09.2024 ФАС вновь возьмется за операторов связиз>
|
||||