Уязвимость в сайте для дистанционного обучения позволяет кражу тестов,
изменение оценок или даже полный контроль.
В популярной системе онлайн обучения Moodle были найдены две серьезные
ошибки, которые позволяют атакующему завладеть учётными записями учителей и
администраторов сайта. Это возможно через использование cross-site scripting (XSS)
and cross-site request forgery (CSRF) атак.
XSS эксплоит внедряет зловредный javascript код в публичные блоги,
расположенные на сайтах Moodle, для кражи идентификаторов сессий пользователей,
которые позволяют нападающему действовать под именем скомпрометированного
пользователя.
Бесплатная платформа с открытым кодом написана на PHP, в соответствии с
последней статистикой Moodle, это программное обеспечение используется в 197
странах мира на более чем 46000 сайтах и предлагает более двух миллионов курсов
в которых участвуют 22 миллиона человек.
