Moodle ha publicado actualizaciones
para resolver un total de 10 vulnerabilidades que afectan su plataforma,
catalogadas de Importancia: 5 - Crítica
Recursos
afectados
Las vulnerabilidades afectan a
versiones distintas de la plataforma. De forma genérica, las versiones
afectadas son:
De la versión 2.7 a la versión 2.7.2.
De la versión 2.6 a la versión 2.6.5.
De la versión 2.5 a la versión 2.5.8.
Recomendación
Las vulnerabilidades se corrigen
actualizando la plataforma a alguna de las nuevas versiones de la plataforma
publicadas por Moodle. En el siguiente enlace se puede ver de forma detallada
la manera de proceder dependiendo de la versión y la vulnerabilidad. En
resumen:
1) Actualizar
a la versión 2.8.
2) Actualizar
de versiones 2.7.x a la versión 2.7.3.
3) Actualizar
de versiones 2.6.x a la versión 2.6.6.
4) Actualizar
de versiones 2.5.x a la versión 2.5.9.
Detalle e
Impacto de la vulnerabilidades publicadas
Riesgo
alto:
- MSA-14-0046: vulnerabilidad CSRF en el fichero mod/lti/request_tool.php y mod/lti/instructor_edit_tool_type.php.
- MSA-14-0045: vulnerabilidad XSS a través de la interfaz de subida de ficheros del usuario.
- MSA-14-0041: usuarios sin privilegios pueden acceder a la lista de etiquetas del sistema.
- MSA-14-0049: permite a un atacante introducir un mensaje aleatorio en la cadena de consulta de una URL, provocado por una validación incorrecta en el fichero mod/lti/return.php.
- MSA-14-0048: vulnerabilidad CSRF en fichero mod/forum/settracking.php.
- MSA-14-0047: la validación incorrecta de los parámetros en el fichero mod/wiki/admin.php permite eliminar contenidos de otra Wiki en el mismo curso a usuarios con permisos para eliminar páginas.
- MSA-14-0044: un usuario puede visualizar un mensaje con la ruta de instalación de Moodle al acceder directamente a un fichero interno.
- MSA-14-0043: los permisos de grupo no son comprobados al utilizar la función de web service de las discusiones del foro.
- MSA-14-0042: el código utilizado para geolocalizar direcciones IP está disponible para usuarios no autenticados.
- MSA-14-0040: Los registros en la base de datos referentes a un nivel de usuarios pueden ser accesibles por usuarios de otros grupos.
- Security Announcements https://moodle.org/security/
