A principios de octubre de 2020, el equipo de investigación cibernética de Wizcase, dirigido por Ata Hakcil, descubrió una vulnerabilidad de seguridad en la plataforma de aprendizaje de código abierto Moodle. Cualquier persona que tuviera una cuenta en moodle de una escuela determinada (con el filtro TeX habilitado) podría entonces hacerse cargo de las cuentas de los estudiantes, profesores e incluso las cuentas administradas por los administradores de la plataforma.
Moodle es una plataforma educativa de código abierto utilizada por 179.000 sitios y tiene 242 millones de usuarios. Permite a las universidades distribuir contenido a estudiantes y profesores. Permite a los profesores comunicarse fácilmente con los estudiantes, organizar y publicar enlaces, documentos, tareas, cuestionarios y calificaciones.
Según el sitio web de Moodle,la plataforma tiene más de 242 millones de usuarios registrados en 251 países. Son estudiantes, profesores, administradores de escuelas y más.
Para entender el núcleo de este problema, también lo hemos probado en versiones anteriores, y pudimos rastrear esta vulnerabilidad de nuevo a un pequeño cambio de código en la versión 2.8.0, que fue lanzado el 10 de noviembre de 2014. Esto significa que la vulnerabilidad que se descubrió había existido durante 6 años antes de ser descubierto y parcheado.
Cualquier universidad/escuela que tuviera habilitado el filtro TeX estaba en riesgo. El filtro TeX generalmente es necesario para compartir fórmulas matemáticas, por lo que cualquier universidad con un departamento científico o de economía, o cualquier campo que requiera fórmulas matemáticas probablemente tenga habilitado el filtro TeX.
El administrador del sitio solo puede habilitar el filtro Tex y está habilitado para todos los usuarios del sitio determinado.
(Moodle ofrece un método alternativo para renderizar fórmulas matemáticas usando Mathjax, pero no es compatible con algunas de las funcionalidades ofrecidas por TeX, y se comenta que es menos compatible con versiones anteriores.)
