BDU:2022-03179: Уязвимость реализации конфигурации moodle/badges:configurecriteria виртуальной обучающей среды Moodle, позволяющая нарушителю выполнить произвольный SQL-код

Описание уязвимости Уязвимость реализации конфигурации moodle/badges:configurecriteria виртуальной обучающей среды Moodle связана с непринятием мер по нейтрализации специальных элементов, используемых в SQL-запросах. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный SQL-код путем отправки специально созданного запроса
Вендор Fedora Project, ООО «Ред Софт», ФССП России, Мартин Дугамас
Наименование ПО Fedora, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Мoodle
Версия ПО
  • 34 (Fedora)
  • 35 (Fedora)
  • 7.3 (РЕД ОС)
  • ИК6 (ОС ТД АИС ФССП России)
  • 36 (Fedora)
  • от 4.0.0 до 4.0.1 (Мoodle)
  • от 3.11.0 до 3.11.7 (Мoodle)
  • от 3.10.0 до 3.10.11 (Мoodle)
  • до 3.9.14 (Мoodle)
Тип ПО Операционная система, Сетевое программное средство
Операционные системы и аппаратные платформы
Тип ошибки Непринятие мер по защите структуры запроса SQL (атаки типа \"внедрение SQL\")
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 31.03.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Moodle:
https://git.moodle.org/gw?p=moodle.git;a=commit;h=a0f47c8bc4d6f5971025de7d63f22475701d2f86

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Дя Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2022-bd4457bcc4
https://bodhi.fedoraproject.org/updates/FEDORA-2022-530fdc5202
https://bodhi.fedoraproject.org/updates/FEDORA-2022-89bfefbe48

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/


Организационные меры:
Рекомендуется не использовать конфигурацию moodle/badges:configurecriteria (данная конфигурация дает возможность устанавливать/редактировать критерии получения значков, которые отображают достижения пользователя) для пользователей, чтобы они не могли получить доступ к затронутым функциям.
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Инъекция
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения