Múltiples vulnerabilidades en Moodle

La plataforma de aprendizaje Moodle, ha realizado recientemente una publicación sobre la detección y correción de múltiples vulnerabilidades de severidad alta y media.

La siguientes vulnerabilidades de severidad alta deben ser solventadas mediante la actualización a las versiones 3.9.1, 3.8.4, 3.7.7 y 3.5.13.

CVE-2020-14320: Vulnerabilidad en el filtro de registro de tareas, aumentaba el riesgo de un ataque XSS reflejado.

  • Versiones afectadas: 3.9, 3.8 a 3.8.3 y 3.7 a 3.7.6

CVE-2020-14321: Permitía a los usuarios con rol de profesor escalar al rol de manager.

  • Versiones afectadas: 3.9, 3.8 a 3.8.3, 3.7 a 3.7.6, 3.5 a 3.5.12 y todas las versiones previas sin soporte.

CVE-2020-14322: No tener un límite en la carga de archivos a la plataforma, aumentaba el riesgo de un ataque de denegación de servicio.

  • Versiones afectadas: 3.9, 3.8 to 3.8.3, 3.7 a 3.7.6, 3.5 to 3.5.12 y todas las versiones previas sin soporte.

La vulnerabilidad de severidad media registrada con el identificador CVE-2019-11358, hace referencia a una versión de JQuery obsoleta que aumentaba el riesgo de contaminación. Las versiones afectadas desde la 3.8 a la 3.8.3, deben ser actualizadas a las versiones 3.8.4 y 3.9.

Se recomienda gestionar con sus proveedores la actualización de Moodle a las versiones no vulnerables disponibles.

Referencias:

  • https://moodle.org/security/index.php?o=3&p=0
  • https://moodle.org/mod/forum/discuss.php?d=407394
  • https://moodle.org/mod/forum/discuss.php?d=407393
  • https://moodle.org/mod/forum/discuss.php?d=407392
  • https://moodle.org/mod/forum/discuss.php?d=407391
  • https://www.incibe-cert.es/en/node/160719