Avis du CERT-FR

Objet: Multiples vulnérabilités dans Moodle

Gestion du document

Référence	CERTA-2010-AVI-150
Titre	Multiples vulnérabilités dans Moodle
Date de la première version	01 avril 2010
Date de la dernière version	01 avril 2010
Source(s)	Notes de la version 1.9.8 de Moodle du 25 mars 2010
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Contournement de la politique de sécurité ;
atteinte à la confidentialité des données ;
injection de code indirecte à distance ;
injection SQL.

Systèmes affectés

Moodle versions 1.9.7 et antérieures.

Résumé

De multiples vulnérabilités dans Moodle permettent notamment de réaliser des injections SQL et des injections de code indirectes.

Description

De multiples vulnérabilités ont été découvertes dans Moodle. Celles-ci permettent, entre autres, d'obtenir le nom complet des utilisateurs, de réaliser des injections de code indirectes au travers de différents composants ainsi que des injections SQL via le module Wiki.

Solution

Mettre Moodle à jour en version 1.9.8 (cf. section Documentation).

Documentation

Notes de la version 1.9.8 de Moodle du 25 mars 2010 :

http://docs.moodle.org/en/Moodle_1.9.8_release_notes

Téléchargement de la dernière version de Moodle :
```
http://download.moodle.org/
```

Gestion détaillée du document

le 01 avril 2010: version initiale.