Skip to content
hacker_posts

Moodle : RCE via repository Google Drive et SQLi auth_db (CERTFR-2026-AVI-0794)

ANSSI publie CERTFR-2026-AVI-0794 le 22 juin : MSA-26-0005 (SQLi auth_db) et MSA-26-0006 (RCE Google Drive) corrigés. Versions 5.2.1 / 5.1.5 / 5.0.8 / 4.5.12.

Publié le 5 min de lecture
cvemoodlealertecert-fr

Le CERT-FR a publié le 22 juin 2026 l'avis CERTFR-2026-AVI-0794 qui répercute la salve de bulletins MSA-26-0001 à MSA-26-0009 mise en ligne le même jour par Moodle HQ. Deux failles sortent du lot : CVE-2026-7275 — une exécution de code à distance dans le plugin repository Google Drive (MSA-26-0006) — et CVE-2026-7274 — une injection SQL dans le plugin d'authentification external database (MSA-26-0005). Le reste de la rafale couvre des contournements de capacités, des CSRF et des XSS sur des fonctionnalités secondaires (Assignment, quiz overview regrade, grade item ID, AI placement, messagerie de groupe, module Feedback).

Versions concernées

Selon l'avis CERTFR-2026-AVI-0794 :

  • Moodle 4.5.x antérieures à 4.5.12
  • Moodle 5.0.x antérieures à 5.0.8
  • Moodle 5.1.x antérieures à 5.1.5
  • Moodle 5.2.x antérieures à 5.2.1

Les branches LTS antérieures (4.1, 4.3, 4.4) sont en fin de support — pas de correctif publié, c'est une migration de branche qui s'impose.

Les versions de référence côté éditeur sont citées dans les bulletins individuels : MSA-26-0006 liste les premiers correctifs sortis (5.1.4, 5.0.7, 4.5.11). Les versions citées par le CERT-FR (5.1.5, 5.0.8, 4.5.12) agrègent l'ensemble des MSA-26-0001 à 26-0009 — c'est le palier minimum pour couvrir toute la salve sans cherry-pick.

CVE-2026-7275 — RCE via Google Drive repository

Le plugin repository Google Drive permet aux enseignants et étudiants d'insérer des fichiers depuis leur Drive personnel dans un cours. La vulnérabilité — décrite par Moodle comme un RCE risk — concerne le traitement côté serveur des contenus rapatriés depuis Drive. Aucune authentification administrateur n'est requise dans le scénario d'exploitation : tout utilisateur Moodle disposant des capacités standard pour utiliser un repository peut déclencher le code.

Le plugin n'est pas activé par défaut sur une installation neuve, mais il l'est largement dans les déploiements éducation supérieure et associatif — partout où Google Workspace for Education est la suite bureautique de référence. C'est l'angle d'exposition à vérifier en premier sur un parc Moodle français.

Mitigation temporaire documentée par Moodle : désactiver le plugin repository Google Drive (Site administration → Plugins → Repositories → Manage repositories) le temps d'appliquer le correctif.

CVE-2026-7274 — SQLi dans auth_db

MSA-26-0005 décrit une injection SQL dans le plugin d'authentification external database (auth_db), utilisé par les sites qui délèguent l'authentification à une base externe (LDAP cible secondaire, base RH, annuaire étudiants). Une chaîne soumise lors de l'authentification atteint la requête SQL sans assainissement suffisant, ouvrant à un attaquant non authentifié la possibilité de manipuler la requête pour lire ou modifier des données dans la base externe.

Le plugin n'est pas activé par défaut non plus, mais les déploiements d'envergure le configurent souvent pour fédérer des comptes existants. Si auth_db est actif dans Site administration → Plugins → Authentication → Manage authentication, c'est la deuxième vérification à mener.

Statut d'exploitation

Au moment de la publication de l'avis CERT-FR du 22 juin, aucune exploitation publique en conditions réelles n'est documentée par Moodle HQ, le CERT-FR ou des chercheurs tiers. Aucun PoC public n'a été référencé pour CVE-2026-7274 ou CVE-2026-7275. Le détail technique des deux failles n'est pas non plus encore publié sur le tracker Moodle — c'est la fenêtre habituelle de 72 h pendant laquelle Moodle HQ laisse les opérateurs patcher avant la divulgation complète.

L'historique récent invite cependant à ne pas attendre : les CVE Moodle de la branche RCE — typiquement via un module pédagogique ou un plugin d'intégration — sont systématiquement exploitées dès qu'un PoC tombe, notamment sur les MOOC publics et les portails universitaires non patchés.

Que faire

  1. Mettre à niveau aujourd'hui vers 5.2.1, 5.1.5, 5.0.8 ou 4.5.12 selon votre branche. Les paquets sont distribués via la page de téléchargement Moodle ; les déploiements moodledev.io listent les release notes complètes par branche.
  2. Identifier l'activation du plugin Google Drive repository. Site administration → Plugins → Repositories → Manage repositories. S'il est activé, le désactiver est la première mesure si le patch ne peut pas être déployé dans les heures qui viennent.
  3. Identifier l'activation du plugin auth_db. Site administration → Plugins → Authentication → Manage authentication. S'il est actif, restreindre l'accès au formulaire de connexion (Cloudflare/WAF, ACL réseau) jusqu'au patch.
  4. Inventorier les instances Moodle dans l'organisation. Les déploiements éducation cumulent souvent une instance principale officielle plus plusieurs instances secondaires (formations continues, intranet RH, laboratoires de recherche). Les secondaires sont rarement dans le périmètre de patching managé — c'est la cible probable.
  5. Auditer les logs après mise à jour. Sur les instances exposées avant patching : pics de requêtes vers /repository/repository_ajax.php (chemin Google Drive), erreurs SQL atypiques côté auth_db, créations de comptes admin non sollicitées. Pas d'IoC publiés à ce stade, c'est la surveillance comportementale qui s'impose.
  6. Sites en fin de support (4.1, 4.3, 4.4) : pas de correctif. Migration vers 4.5 LTS ou 5.0+ avant la fin du trimestre, sinon retirer l'instance d'internet.

Contexte

Moodle est le LMS de référence pour l'enseignement supérieur français et une part importante du parc éducation des collectivités. Les rafales mensuelles de Moodle HQ — typiquement quatre à dix MSA en une journée — sont prévisibles et le CERT-FR les répercute systématiquement (cf. CERTFR-2026-AVI-0177 en début d'année). La discipline opérationnelle qui fait la différence n'est pas la rapidité de réaction à une CVE individuelle mais l'automatisation du cycle de patching mensuel sur l'ensemble du parc, instances secondaires comprises.

Pour les opérateurs en périmètre NIS2 — services éducation publics, certains acteurs de la formation professionnelle — l'avis CERTFR-2026-AVI-0794 est la référence à citer en cas d'audit du délai de traitement : la salve est documentée, les versions cibles aussi.

Articles liés