Araştırmacılar, açık kaynaklı e-öğrenme platformu Moodle’da, bir saldırganın bir veritabanını ele geçirmesine ve hassas bilgileri ele geçirmesine olanak verebilecek yeni güvenlik açıkları buldu. Yamalar yayınlanırken, Moodle kullanıcılarından güncellemeleri hemen takip etmeleri isteniyor.
Moodle, kurumların öğrenciler için çevrimiçi öğrenme materyalleri oluşturmasını sağlayan bir araçtır. Moodle’daki bu güvenlik açığının tespit edilmesinin ardından, riski azaltmak için platformda çeşitli değişiklikler yapılmıştır.
Moodle’daki son araştırmalar, o zamandan beri ele alınan birkaç güvenlik riskini belirledi. Ancak güvenlik açığı – CVE-2023-1402 ve CVE-2023-28336 – bunlar yetkisiz erişime izin verdiği için kullanıcının hemen ilgilenmesi gerekebilir.
CVE-2023-1402, kendilerine erişimi olmayan kullanıcılara roller gösterebilir ve CVE-2023-28336, öğretmenlerin başka türlü erişemedikleri kullanıcıların adlarına erişmesine izin verebilir.
Sorun, 4.1 – 4.1.1, 4.0 – 4.0.6, 3.11 – 3.11.12, 3.9 – 3.9.19 sürümlerini ve desteklenmeyen önceki sürümleri etkiledi. Bu riski azaltmak ve Moodle’ın güvenliğini artırmak için 4.1.2, 4.0.7, 3.11.13 ve 3.9.20 sürümlerinde değişiklikler yapılmıştır.
E-öğrenme Platformu Moodle’da daha fazla güvenlik açığı
Moodle, güvenlik açıklarının listesini şirketin web sitesinde yayınladı.
Bu tür bir güvenlik açığı, not raporu geçmişinin yetersiz filtrelenmesiyle ilgiliydi; bu, öğretmenlerin erişim yetkileri olmayan kullanıcıların adlarını görmelerine olanak tanıyordu.
Güvenlik kusuru, 4.1 – 4.1.1, 4.0 – 4.0.6, 3.11 – 3.11.12 ve 3.9 – 3.9.19 sürümleri dahil olmak üzere Moodle’ın çeşitli sürümlerini ve desteklenmeyen eski sürümleri etkiledi.
En son sürümler olan 4.1.2, 4.0.7, 3.11.13 ve 3.9.20, yetkisiz erişimi önlemek için değişikliklere tabi tutulmuştur.
Moodle kullanıcıları, veritabanı etkinlik şablonlarının sıfırlanmasını içeren bir güvenlik sorunu konusunda da uyarıldı. Spesifik olarak, sıfırlama bağlantısı olası bir Siteler Arası İstek Sahteciliği (CSRF) güvenlik açığını önlemek için gerekli belirteci içermiyordu.
Bu güvenlik açığı, 4.1 ile 4.1.1 arasındaki sürümleri etkilemiştir; o zamandan beri sorunu çözmek için 4.1.2 sürümüne bir güvenlik düzeltme eki uygulandı.
Başka bir güvenlik riski, kimliği doğrulanmış kullanıcıların öğrenme planları sayfası aracılığıyla diğer kullanıcıların adlarını elde etme becerisiyle ilgiliydi.
4.1 – 4.1.1 ve 4.0 – 4.0.6 sürümlerinin her ikisi de bu riskten etkilenmiştir. Neyse ki, bu riski azaltmak ve kullanıcı adlarına yetkisiz erişimi önlemek için 4.1.2 ve 4.0.7 sürümlerinde değişiklikler yapıldı.
Moodle’ın Bıyık pix yardımcısı, kullanıcı girişiyle birleştirildiğinde olası bir Mustache enjeksiyonu riski nedeniyle yakın zamanda güvenlik endişelerini dile getirdi. Ancak, bu risk çekirdek LMS’de kullanılmadı veya uygulanmadı.
4.1 – 4.1.1, 4.0 – 4.0.6, 3.11 – 3.11.12, 3.9 – 3.9.19 dahil olmak üzere çeşitli Moodle sürümleri ve daha önceki desteklenmeyen sürümler etkilendi. Bu riski azaltmak ve kullanıcıların güvenliğini sağlamak için 4.1.2, 4.0.7, 3.11.13 ve 3.9.20 sürümlerinde değişiklikler yapılmıştır.
Ek olarak, uygun işlevsellik olmadan cebir filtresinin etkinleştirilmesi, Moodle kullanıcıları için potansiyel bir Siteler Arası Komut Dosyası Çalıştırma (XSS) riski oluşturuyordu.
Bu risk ayrıca 4.1 – 4.1.1, 4.0 – 4.0.6, 3.11 – 3.11.12, 3.9 – 3.9.19 sürümlerini ve desteklenmeyen önceki sürümleri de etkiledi. Bu riskten kaçınmak için, kullanıcılar cebir filtresinin etkinleştirilmeden önce doğru yapılandırıldığını doğrulamalıdır.
Moodle, çevrimiçi öğrenme materyalleri oluşturmak için popüler ve kullanışlı bir platform olsa da, en son güvenlik yamalarıyla güncel kalmak ve platformun riskleri azaltmak için doğru şekilde yapılandırıldığından emin olmak çok önemlidir.