Разработчики платформы для электронного обучения Moodle опубликовали набор патчей, исправляющих девять уязвимостей в актуальных ветках продукта. Проблемы затрагивают версии 4.5.x, 5.0.x, 5.1.x и 5.2.x, а также более старые сборки, вышедшие из поддержки. Обновления с индексами 4.5.12, 5.0.8, 5.1.5 и 5.2.1 уже доступны для скачивания, сообщается в бюллетенях проекта от 22 июня 2026 года.
Детали уязвимостей
Среди выявленных недостатков - возможность межсайтового скриптинга (XSS), подделки межсайтовых запросов (CSRF), слепой подделки серверных запросов (SSRF) и отказа в обслуживании (DoS). Часть уязвимостей связана с некорректной проверкой прав доступа к определённым функциям, что могло позволить неавторизованным пользователям выполнять операции, выходящие за рамки их ролей.
Наиболее серьёзную оценку получили три проблемы: XSS в функции редактирования идентификационного номера элемента оценки (grade item idnumber), недостаток проверки прав при назначении маркеров в модуле "Задание" (Assignment marker allocation) и риск DoS через описание профиля пользователя. Последняя уязвимость была вызвана отсутствием ограничения на длину описания, что позволяло аутентифицированному злоумышленнику отправлять чрезмерно большие объёмы данных и вызывать отказ в обслуживании на сервере.
Ещё одна уязвимость уровня "критическая" касается отсутствия токена защиты в процессе редактирования идентификационного номера элемента оценки: это открывало путь как к CSRF, так и к отражённому XSS. В случае успешной эксплуатации атакующий мог бы заставить жертву (например, преподавателя или администратора) выполнить нежелательные действия от её имени, одновременно внедрив вредоносный скрипт, который отражается в сообщении об ошибке при импорте обратной связи (Feedback activity import). Последний вектор, описанный в бюллетене MSA-26-0020, квалифицирован как незначительный, но тем не менее требовал дополнительной очистки вывода.
Две уязвимости CSRF невысокой степени риска были обнаружены в функциях включения и отключения группового обмена сообщениями (group messaging toggle) и добавления заголовков разделов в тестах (quiz section headings). В обоих случаях отсутствовала проверка токена, что при условии комбинирования с другими векторами могло привести к несанкционированному изменению настроек.
Проблема слепого SSRF была найдена в механизме управления пирами MNet (MNet peers). При добавлении нового пира не проверялось, попадает ли указанное имя хоста в список заблокированных адресов для cURL. Эта возможность доступна только администраторам сайта, тем не менее её эксплуатация могла бы позволить злоумышленнику с соответствующими привилегиями инициировать запросы к внутренним ресурсам сети, что чревато утечкой информации или дальнейшим продвижением атаки. Уязвимость обнаружена исследователем под псевдонимом DangKhai из команды безопасности VPBank.
Отдельное внимание привлекли недостатки проверки прав в веб-сервисах для размещения AI-ассистентов курсов (AI placement web services) и в обратных вызовах фрагментов построителя отчётов (report builder fragment callbacks). В первом случае пользователи, не обладающие необходимыми привилегиями, могли отправлять запросы к AI-сервисам, если те были активированы. Во втором - несанкционированные пользователи получали возможность извлекать данные из отчётов, к которым у них не было доступа. Обе проблемы оценены как незначительные, но в сочетании с другими ошибками конфигурации могли привести к утечке чувствительной информации.
Все уязвимости были обнаружены и сообщены разработчикам исследователями, среди которых Пол Холден выступил автором большинства отчётов (шесть из девяти). Дэвид Богнер указал на DoS-риск через описание профиля. Все проблемы зафиксированы в трекере Moodle с идентификаторами MDL-88543, MDL-88542, MDL-88541, MDL-88540, MDL-88533, MDL-88529, MDL-87911, MDL-87898 и MDL-84535. Назначение CVE-идентификаторов пока ожидается.
Moodle - одна из самых распространённых систем управления обучением (LMS) в мире, используемая тысячами образовательных учреждений, от школ до университетов, а также корпоративными клиентами для внутреннего обучения. Высокая популярность делает платформу привлекательной целью для атак: многие учебные заведения хранят в Moodle персональные данные студентов, результаты тестов и внутреннюю документацию. Поэтому закрытие даже незначительных уязвимостей критически важно для предотвращения компрометации инфраструктуры.
Пользователям и администраторам настоятельно рекомендуется обновить установки до указанных версий. Для версий, вышедших из поддержки (раньше 4.5), патчи не предусмотрены - таким инсталляциям следует спланировать миграцию на актуальные релизы. Временные меры защиты, такие как ограничение доступа к функциям через назначение ролей, могут снизить риски, но полное исправление достигается только установкой обновления.
Выпуск большого числа патчей в один день - привычная практика для Moodle, которая придерживается регулярного цикла обновлений безопасности. Тем не менее одновременное исправление девяти уязвимостей разных классов свидетельствует о продолжающейся работе команды над усилением кодовой базы. Администраторам образовательных платформ следует включить отслеживание бюллетеней Moodle в регулярные процедуры мониторинга безопасности.
Ссылки
- https://moodle.org/mod/forum/discuss.php?d=481820
- https://moodle.org/mod/forum/discuss.php?d=481821
- https://moodle.org/mod/forum/discuss.php?d=481823
- https://moodle.org/mod/forum/discuss.php?d=481824
- https://moodle.org/mod/forum/discuss.php?d=481825
- https://moodle.org/mod/forum/discuss.php?d=481826
- https://moodle.org/mod/forum/discuss.php?d=481827
- https://moodle.org/mod/forum/discuss.php?d=481829
- https://moodle.org/mod/forum/discuss.php?d=481830
- https://moodle.org/mod/forum/discuss.php?d=481831
