Angreifer können an mehreren Sicherheitslücken in der Lernplattform Moodle und Systeme im schlimmsten Fall vollständig kompromittieren. Admins sollten die verfügbaren Sicherheitspatches zeitnah installieren.
Wie aus dem Sicherheitsbereich der Moodle-Website hervorgeht, haben die Entwickler in aktuellen Versionen mehrere Schwachstellen geschlossen. Drei Lücken (CVE-2025-3641, CVE-2025-3642, CVE-2025-3625) sind mit dem Bedrohungsgrad „hoch“ eingestuft.
Die ersten beiden Schwachstellen betreffen bei der Standardinstallation ausschließlich die Nutzerrollen Lehrer und Manager. Denn nur bei diesen sind standardmäßig das EQUELLA- und Dropbox-Repository aktiviert. Darin findet sich nämlich die Verwundbarkeit, an der Angreifer für Schadcode-Attacken ansetzen können. Wie solche Angriffe im Detail ablaufen könnten, ist bislang unklar. Zurzeit gibt es keine Hinweise, dass Angreifer Lücken bereits aktiv ausnutzen.
Ist es Admins nicht möglich, das Sicherheitsupdate umgehend zu installieren, können sie Systeme über eine Übergangslösung absichern, indem sie in den Einstellungen das jeweilige Repository deaktivieren.
Über die dritte Schwachstelle können Angreifer auf sensible Informationen von Schülern zugreifen und sie darin hindern, sich einzuloggen.
Der Großteil der verbleibenden Sicherheitslücken ist mit dem Bedrohungsgrad „mittel“ versehen. An diesen Stellen können Angreifer unter anderem auf eigentlich abgeschottete Informationen zugreifen.
Die Entwickler versichern, die Schwachstellen in den folgenden Versionen geschlossen zu haben. Alle vorigen Ausgaben sind verwundbar.
4.1.184.3.124.4.84.5.4
(
Kommentare