Múltiples vulnerabilidades en Moodle

Fecha de publicación: 
20/03/2017
Importancia: 
4 - Alta
Recursos afectados: 

Las siguientes versiones de Moodle se ven afectadas por alguna o varias de las vulnerabilidades descritas:

  • Versiones 3.2 hasta la  3.2.1
  • Versiones  3.1 hasta la 3.1.4
  • Versiones  3.0 hasta la 3.0.8,
  • Versiones  2.7.0 hasta la 2.7.18
Descripción: 

Se han publicado varias vulnerabilidades que afectan a la plataforma Moodle, una de las cuales podría permitir la ejecución de código remota. 

Solución: 

Actualizar a las versiones 3.2.2 y 3.1.5 que solucionan las vulnerabilidades. En caso de ser necesario el uso de versiones 3.0.X o 2.7.X, la recomendación es actualizar a 3.0.9 o 2.7.19. 

Detalle: 

De las cuatro vulnerabilidades reportadas, dos son de criticidad baja y otras dos son de criticidad alta, cuyo detalle es el siguiente: 

  • Ejecución remota de código: A través de una inyección SQL por parte de un usuario registrado en el interfaz web de la versión 3.2.1 se puede realizar una ejecución remota de código. De forma similar se podría realizar esa inyección por parte de administradores a través de los servicios web de versiones anteriores. 
  • XSS en adjuntos de pruebas de cursos anteriores: Cuando los archivos adjuntos como pruebas de cursos anteriores se visualizan con usuarios diferentes al que lo subió, no se fuerza su descarga, lo que hace que se abran en sus sesiones de Moodel actual. 
Etiquetas: