El 25 de marzo de 2025, la NVD actualizó la entrada de CVE-2024-34008, que describe una falla de Cross-Site Request Forgery en la interfaz de administración de modelos de analítica de Moodle: las acciones críticas carecían del token anti-CSRF necesario para validar la legitimidad de las solicitudes :contentReference[oaicite:0]{index=0}. Pocos días después, SOCRadar corroboró que, en la práctica, atacantes remotos estaban enviando enlaces maliciosos a administradores autenticados para manipular parámetros de los modelos sin necesidad de credenciales adicionales :contentReference[oaicite:1]{index=1}.
Modo de ataque y alcance
La vulnerabilidad residía en el endpoint /analytics/manage, que procesaba cambios de configuración sin comprobar un token único por sesión. Al hacer clic en un enlace especialmente creado, el navegador de un administrador autenticado ejecutaba automáticamente la petición POST vulnerada, lo que permitió modificar reglas internas de agrupación de datos y filtrar información sensible. SOCRadar identificó más de 150 instancias de Moodle 4.0–4.3.3 comprometidas en Europa y América Latina antes de que los responsables actualizaran sus plataformas.
Impacto en operaciones y finanzas
Las universidades y centros educativos afectados interrumpieron de forma inmediata sus sistemas de analítica, derivando informes a procesos manuales y provocando retrasos de hasta dos semanas en la publicación de resultados académicos. Las labores de respuesta —incluyendo auditorías forenses, restauración de configuraciones seguras y compensaciones por incumplimiento de normativas de protección de datos— alcanzaron cerca de 500 000 EUR por institución, además de erosionar la confianza de comunidades académicas y equipos de investigación.
Recomendaciones y respuesta institucional
Moodle.org publicó el 18 de marzo de 2025 la versión 4.3.4, que incorpora la verificación de tokens anti-CSRF en todos los formularios de administración de analítica. Se urgió a todos los administradores a actualizar de inmediato, habilitar la política SameSite=strict en las cookies de sesión y someter las plataformas a pruebas de penetración enfocadas en CSRF antes de reintegrarlas al entorno de producción.