CVE-2025-26529: Celah Stored XSS Berbahaya di Moodle

Pendahuluan

Dalam dunia keamanan aplikasi, CVE (Common Vulnerabilities and Exposures) digunakan untuk mencatat dan mengidentifikasi celah keamanan yang ditemukan pada sistem atau software. Salah satu aplikasi yang perlu mendapat perhatian serius adalah Moodle, platform e-learning yang banyak digunakan oleh sekolah, kampus, dan organisasi.
CVE-2025-26529 adalah salah satu celah keamanan yang ditemukan di Moodle dan dapat berdampak langsung pada akun administrator jika tidak segera diperbaiki.

Ringkasan CVE-2025-26529

CVE-2025-26529 merupakan kerentanan Stored Cross-Site Scripting (Stored XSS) yang terjadi pada fitur Site Administration Live Log di Moodle.
Kerentanan ini memiliki tingkat keparahan tinggi (High) karena memungkinkan kode berbahaya disimpan di sistem dan dijalankan saat admin membuka halaman log. Beberapa versi Moodle sebelum rilis patch resmi terdampak oleh celah ini.

Penjelasan Teknis Kerentanan

Cross-Site Scripting (XSS) adalah serangan di mana penyerang menyisipkan kode JavaScript berbahaya ke dalam aplikasi web.
Pada stored XSS, kode berbahaya tersebut disimpan di server, misalnya di database atau log, lalu dijalankan setiap kali halaman terkait dibuka.
Dalam kasus CVE-2025-26529, data yang ditampilkan pada live log admin tidak difilter dengan baik. Akibatnya, penyerang bisa membuat entri log yang berisi skrip berbahaya, dan skrip tersebut akan dijalankan di browser admin saat halaman log dibuka.

Dampak dan Risiko

Kerentanan ini sangat berbahaya karena menargetkan administrator Moodle. Dampak yang bisa terjadi antara lain:

• Pencurian cookie sesi admin.

• Pengambilalihan akun administrator.

• Perubahan konfigurasi sistem tanpa izin.

• Akses ke data sensitif seperti informasi pengguna dan materi pembelajaran.

• Potensi penyebaran serangan ke akun lain di sistem.

Jika admin terkena serangan, seluruh sistem Moodle bisa ikut terkompromi.

Skenario Eksploitasi

Secara sederhana, skenario serangan dapat terjadi seperti berikut:

1. Penyerang memicu sebuah aktivitas yang tercatat di live log Moodle.

2. Aktivitas tersebut berisi kode JavaScript berbahaya.

3. Data log tersimpan di sistem Moodle.

4. Administrator membuka halaman live log.

5. Browser admin menjalankan skrip berbahaya secara otomatis.

Tanpa disadari, admin sudah menjadi korban serangan.

Solusi dan Mitigasi

Untuk mencegah eksploitasi CVE-2025-26529, langkah berikut sangat disarankan:

Solusi utama:

• Segera perbarui Moodle ke versi terbaru yang telah memperbaiki celah ini.

Langkah mitigasi tambahan:

• Batasi akses ke halaman live log hanya untuk admin tertentu.

• Terapkan sanitasi dan validasi input dengan lebih ketat.

• Aktifkan kebijakan keamanan browser seperti Content Security Policy (CSP).

• Pantau aktivitas log untuk mendeteksi pola mencurigakan.

Rekomendasi Keamanan Moodle

Kasus ini menunjukkan bahwa fitur log sekalipun bisa menjadi target serangan. Oleh karena itu:

• Selalu lakukan update Moodle secara rutin.

• Jangan menunda pemasangan patch keamanan.

• Lakukan audit keamanan berkala.

• Edukasi admin tentang risiko XSS dan serangan berbasis browser.

Kesimpulan

CVE-2025-26529 adalah kerentanan stored XSS berisiko tinggi pada fitur live log admin Moodle. Celah ini dapat dimanfaatkan untuk menyerang administrator dan mengambil alih sistem Moodle secara keseluruhan.
Langkah paling efektif untuk mencegah serangan adalah memperbarui Moodle ke versi yang sudah aman dan menerapkan praktik keamanan yang baik.

Proof of Concept (PoC)