Moodle曝高危漏洞 众多在线学习网站面临风险

摘要：在线教学管理平台Moodle曝高危漏洞，这些漏洞可能会让攻击者获得管理权限，并在Web服务器上执行恶意PHP代码。

Moodle是个开源教学管理系统，不少学校等教学机构进行交互式在线教程时都会采用这个平台。大约234个国家的78000的在线教学网站采用了这一平台，用户量超过1亿。

近日，该系统曝出高危漏洞，这些漏洞可致攻击者获取管理员权限，在web服务器上执行恶意php代码；包括一个逻辑漏洞、2个SQL注入漏洞等。

每个漏洞本身并不算太严重，但组合起来就能构建隐藏的管理员帐号并执行恶意代码。专家人员原因出在后续开发者对原本开发者开发功能的部了解，代码太多，开发者太多，又缺少文档。

在Moodle平台上获得管理权限不仅是危险的，因为攻击者可以通过上传恶意插件或模板来安装PHP后门，还可以通过Moodle安装存储关于学生上网课程的敏感信息和私人信息。

目前，官方已经针对该漏洞发布了最新的补丁。建议使用Moodle学习管理系统的组织应尽快部署最新的修补程序，以修复可能允许攻击者接管Web服务器的漏洞。

参考链接：

http://www.networkworld.com/article/3183555/security/flaws-in-moodle-cms-put-thousands-of-e-learning-websites-at-risk.html