Moodle
ha publicado 13 nuevas alertas de seguridad en las que se corrigen otras tantas
vulnerabilidades con diversos efectos, desde los habituales XSS hasta inyección
de código. Se ven afectadas todas las ramas soportadas (2.7, 2.6, 2.5 y 2.4) y
anteriores, ya fuera de mantenimiento de seguridad.
Moodle, es conocida y ampliamente utilizada
como plataforma educativa de código abierto que permite a los educadores crear
y gestionar tanto usuarios como cursos de modalidad e-learning. Además
proporciona herramientas para la comunicación entre formadores y alumnos.
Detalle
de los problemas corregidos
- 12 de los 13 problemas
anunciados son consideradas como serios, con CVE asociados del
CVE-2014-3541 al CVE-2014-3553. Se incluyen diversas vulnerabilidades de
Cross Site Scripting, XXE (XML External Entity) y de inyección de código.
- Por otra parte un fallo en la
autenticación Shibboleth podría permitir a un usuario tomar control sobre
las sesiones de otros usuarios. Una vulnerabilidad podría permitir la
obtención de nombres de usuario y cursos mediante la manipulación de
"/user/edit.php" y otro problema en los foros podría permitir la
escritura en grupos a los que no se tiene acceso.
Recomendación
- Se han publicado las versiones 2.7.1, 2.6.4, 2.5.7 y 2.4.11 que solucionan todos los problemas y pueden descargarse desde su página oficial http://download.moodle.org/
- Una
al día (29/07/2014) http://unaaldia.hispasec.com/2014/07/multiples-vulnerabilidades-en-moodle.html