Ostatnio pojawiły się informacje dotyczące wykrycia poważnego błędu bezpieczeństwa w kodzie Moodle, który pozwala atakującemu wykonać polecenia na serwerze e-learning. W rezultacie atakujący mając założone dowolne konto (poza gościem) może wykonać szereg “mniejszych działań” tj. SQL Injection oraz Object Injection, prowadzących do uzyskania kontroli (i w rezultacie uprawnień administratora) systemu e-learning. Luka bezpieczeństwa – zdalne wykonanie kodu (RCE) działa na niemal wszystkich wersjach Moodle, oprócz bezpiecznych wersji systemu: 3.2.2, 3.1.5, 3.0.9 oraz 2.7.19. Jednym słowem mając niższe wersje Moodle – warto się zastanowić nad jego aktualizacją.
O luce w systemie Moodle pisze na swoim blogu Netanel Rubin ukazując lukę w dynamicznym systemie AJAX Moodle i kwestię powstania luki logicznej.
AKTUALIZACJA: na stronie moodle.org zamieszczona została informacja od twórcy systemu Moodle – Martina Dougiamasa, wzywająca do aktualizacji systemów e-learningowych do bezpiecznych wersji 3.2.2/3.1.5/3.0.9/2.7.19.