La plataforma de aprendizaje Moodle, ha realizado recientemente una publicación sobre la detección y correción de múltiples vulnerabilidades de severidad alta y media.
La siguientes vulnerabilidades de severidad alta deben ser solventadas mediante la actualización a las versiones 3.9.1, 3.8.4, 3.7.7 y 3.5.13.
CVE-2020-14320: Vulnerabilidad en el filtro de registro de tareas, aumentaba el riesgo de un ataque XSS reflejado.
- Versiones afectadas: 3.9, 3.8 a 3.8.3 y 3.7 a 3.7.6
CVE-2020-14321: Permitía a los usuarios con rol de profesor escalar al rol de manager.
- Versiones afectadas: 3.9, 3.8 a 3.8.3, 3.7 a 3.7.6, 3.5 a 3.5.12 y todas las versiones previas sin soporte.
CVE-2020-14322: No tener un límite en la carga de archivos a la plataforma, aumentaba el riesgo de un ataque de denegación de servicio.
- Versiones afectadas: 3.9, 3.8 to 3.8.3, 3.7 a 3.7.6, 3.5 to 3.5.12 y todas las versiones previas sin soporte.
La vulnerabilidad de severidad media registrada con el identificador CVE-2019-11358, hace referencia a una versión de JQuery obsoleta que aumentaba el riesgo de contaminación. Las versiones afectadas desde la 3.8 a la 3.8.3, deben ser actualizadas a las versiones 3.8.4 y 3.9.
Se recomienda gestionar con sus proveedores la actualización de Moodle a las versiones no vulnerables disponibles.
Referencias:
- https://moodle.org/security/index.php?o=3&p=0
- https://moodle.org/mod/forum/discuss.php?d=407394
- https://moodle.org/mod/forum/discuss.php?d=407393
- https://moodle.org/mod/forum/discuss.php?d=407392
- https://moodle.org/mod/forum/discuss.php?d=407391
- https://www.incibe-cert.es/en/node/160719