Moodle, ha lanzado cinco nuevos boletines de seguridad que solventan otras tantas vulnerabilidades, que van desde las habituales XSS hasta la de salto de restricciones.
Moodle, es reconocida ampliamente como plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning y también proporciona herramientas para la comunicación entre formadores y alumnos.
Recursos afectados
- Se encuentran afectadas todas las ramas soportadas (2.5, 2.4 y 2.3) y anteriores, ya fuera de mantenimiento de seguridad.
Detalles de los boletines publicados
- Boletín MSA-13-0036 (CVE-2013-4522), marcada con un impacto 'leve', solucionaría la posible revelación de información sensible.
- Boletines MSA-13-0040 (CVE-2013-4525), MSA-13-0039 (CVE-2013-4523), y MSA-13-0037, (CVE-2013-6780) marcadas con un impacto 'severo' y que corrigen diferentes 'cross-site scripting'
- Boletín MSA-13-0036, marcado también con un impacto 'severo' debido a un salto de restricciones a través del repositorio de archivo (File System Repository), que permitiría el acceso a ficheros fuera del mismo.
- Los errores han sido corregidos en las ramas afectadas mediante las nuevas versiones disponibles 2.6, 2.5.3, 2.4.7 y 2.3.10 y pueden ser descargadas desde el sitio oficial: http://download.moodle.org/
- Moodle security notifications public http://seclists.org/oss-sec/2013/q4/331
- Una al día (25/11/13) http://unaaldia.hispasec.com/2013/11/multiples-vulnerabilidades-en-moodle.html
