Plataforma
php
Componente
moodle/moodle
Corregido en
4.5.9
5.0.5
5.1.2
5.1.2
Se ha identificado una vulnerabilidad de Ejecución Remota de Código (RCE) en Moodle, específicamente en su funcionalidad de restauración de copias de seguridad. La falla radica en la falta de validación adecuada de archivos de copia de seguridad durante el proceso de restauración. Esta vulnerabilidad afecta a las versiones de Moodle 5.1.1 y anteriores, y su explotación exitosa podría resultar en la completa toma de control del servidor de Moodle. La versión 5.1.2 ya incluye la corrección.
Un atacante podría aprovechar esta vulnerabilidad creando un archivo de copia de seguridad malicioso y restaurándolo en un servidor de Moodle vulnerable. Al restaurar este archivo, el atacante podría inyectar y ejecutar código malicioso en el servidor, obteniendo control sobre el mismo. Esto podría permitir el acceso no autorizado a datos sensibles, la modificación de la configuración del sistema, la instalación de malware, o incluso el uso del servidor como punto de partida para ataques a otros sistemas en la red. La necesidad de acceso autenticado limita el impacto a usuarios con privilegios, pero la gravedad de la posible ejecución de código en el servidor es considerable.
Esta vulnerabilidad fue publicada el 21 de febrero de 2026. Actualmente no se dispone de información sobre explotación activa en la naturaleza. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación.
Educational institutions, organizations, and businesses that rely on Moodle for learning management are at risk. Specifically, deployments with weak password policies or shared administrator accounts are more vulnerable. Organizations using Moodle plugins that interact with the backup and restore functionality should also assess their risk.
• php: Examine Moodle logs for errors or unusual activity during backup and restore operations. Look for patterns indicative of code execution attempts.
grep -i 'error' /var/log/apache2/error.log | grep 'moodle'• php: Monitor file uploads to the Moodle backup directory for suspicious files. Check file extensions and content for potentially malicious code.
find /var/www/moodle/backup -type f -name '*.zip' -print0 | xargs -0 file• generic web: Monitor network traffic for unusual POST requests to Moodle's backup and restore endpoints. • generic web: Review Moodle user accounts and permissions, ensuring that only authorized personnel have access to backup and restore functionality.
disclosure
Estado del Exploit
EPSS
0.09% (26% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Moodle a la versión 5.1.2 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda restringir el acceso a la funcionalidad de restauración de copias de seguridad solo a usuarios de confianza. Además, se debe implementar un escaneo exhaustivo de los archivos de copia de seguridad antes de su restauración para detectar posibles anomalías. Considerar la implementación de reglas en un Web Application Firewall (WAF) para bloquear la restauración de archivos de copia de seguridad sospechosos.
Actualice Moodle a la última versión disponible (4.5.9, 5.0.5 o 5.1.2, o superior) para corregir la vulnerabilidad. Esto evitará la ejecución remota de código al restaurar archivos de respaldo maliciosos. La actualización debe ser realizada por un administrador del sistema.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-26045 is a Remote Code Execution vulnerability in Moodle’s backup and restore functionality, allowing attackers to execute code on the server if they can restore a malicious backup file. It has a CVSS score of 7.2 (HIGH).
You are affected if you are running Moodle versions 5.1.1 or earlier. Upgrade to 5.1.2 or later to mitigate the vulnerability.
The recommended fix is to upgrade Moodle to version 5.1.2 or later. If immediate upgrading is not possible, restrict access to backup/restore and implement file validation.
While no active exploitation has been publicly confirmed, the potential for RCE makes it a high-priority vulnerability. Monitor your systems closely.
Refer to the official Moodle security advisory for detailed information and updates: [https://security.moodle.org/mod/showcontent?content=340](https://security.moodle.org/mod/showcontent?content=340)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.