Risque

Exécution de code arbitraire à distance.

Systèmes affectés

Les versions 1.9.3 et antérieures.

Résumé

Un défaut d'initialisation de variable permet l'exécution de code arbitraire à distance.

Description

Un défaut d'initialisation de variable permet, lorsque l'option registers_global est activée, d'exécuter du code arbitraire au moyen d'une requête spécialement écrite. La dernière version de Moodle corrige la vulnérabilité et ajoute une vérification lors de l'installation qui se bloque si l'option registers_global est activée.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation