Moodle ha publicado 15 alertas de seguridad en las que
se corrigen vulnerabilidades con diversos efectos, desde los habituales XSS
hasta inyección de código. Se ven afectadas todas las ramas soportadas 2.7,
2.6, 2.5 y anteriores versiones ya fuera de soporte.
Moodle es una
popular plataforma educativa de código abierto que permite a los educadores
crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además
proporciona herramientas para la comunicación entre formadores y alumnos.
Detalle e Impacto de las
vulnerabilidades corregidas
- Se han publicado 15 boletines
de seguridad (del MSA-14-0035 al MSA-14-0049), entre ellos seis
considerados como serios. Estos podían permitir ataques Cross Site
Scripting (XSS), Cross Site Request Forgery (CSRF), revelar información y
eludir restricciones de seguridad.
- Los identificadores asignados
comprenden del CVE-2014-7830 al CVE-2014-7838 y del CVE-2014-7845 al
CVE-2014-7848, aunque un par de vulnerabilidades aun está pendientes de
asignación.
Recomendación
· Las
versiones 2.8, 2.7.3, 2.6.6 y 2.5.9 solucionan todas las vulnerabilidades. Se
encuentran disponibles para su descarga desde la página oficial de Moodle.
Más información:
- Moodle downloads
http://download.moodle.org/
- MSA-14-0035: Headers not added to some AJAX
scripts https://moodle.org/mod/forum/discuss.php?d=275146
- MSA-14-0036: XSS in mapcourse script in Feedback
module https://moodle.org/mod/forum/discuss.php?d=275147
- MSA-14-0037: Weak temporary password
generation https://moodle.org/mod/forum/discuss.php?d=275152
- MSA-14-0038: Hidden grade information exposed by
web services https://moodle.org/mod/forum/discuss.php?d=275153
- MSA-14-0039: Insufficient access check in LTI
module https://moodle.org/mod/forum/discuss.php?d=275154
- MSA-14-0040: Information leak in Database
activity module https://moodle.org/mod/forum/discuss.php?d=275155
- MSA-14-0041: Lack of capability check in tags
list access https://moodle.org/mod/forum/discuss.php?d=275157
- MSA-14-0042: Lack of access check in IP lookup
functionality https://moodle.org/mod/forum/discuss.php?d=275158
- MSA-14-0043: Lack of group check in web service
for Forum https://moodle.org/mod/forum/discuss.php?d=275159
- MSA-14-0044: Hardware path disclosed in the error
message https://moodle.org/mod/forum/discuss.php?d=275160
- MSA-14-0045: XSS file upload possible through web
service https://moodle.org/mod/forum/discuss.php?d=275161
- MSA-14-0046: CSRF in LTI module https://moodle.org/mod/forum/discuss.php?d=275162
- MSA-14-0047: Possible data loss in Wiki
activity https://moodle.org/mod/forum/discuss.php?d=275163
- MSA-14-0048: CSRF in forum tracking toggle https://moodle.org/mod/forum/discuss.php?d=275164
- MSA-14-0049: Possible to print arbitrary message
to user by modifying URL https://moodle.org/mod/forum/discuss.php?d=275165