29 de noviembre de 2016

MOODLE. Múltiples vulnerabilidades

Moodle ha publicado cuatro alertas de seguridad en las que se corrigen otras tantas vulnerabilidades que podrían permitir el acceso no autorizado a archivos o a información sensible.
Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.
Recursos afectados
  • Se han publicado cuatro boletines de seguridad (del MSA-16-0023 al MSA-14-0026), y tienen asignados los identificadores CVE-2016-8642 al CVE-2016-8644. Tres de ellos considerados como de gravedad menor y uno de riego serio.
  • El más grave de los problemas afecta cuando la depuración está activa, los errores de excepción de los servicios web podrán contener datos privados. Otros fallos residen en un error en la función de chequeo que puede permitir a los usuarios ver las notas del curso a las que no tiene acceso a visualizar. En la interfaz web de Moodle los usuarios no administradores con capacidad de editar a otros usuarios no pueden editar la información de los administradores, sin embargo esto no se respeta en uno de los servicios web. Por último, un usuario puede acceder a la URL de un archivo incluido en una pregunta para la que no tiene acceso y descargarlo usando el identificador de una pregunta para la que sí tenga acceso.
Recursos afectados
  • Se ven afectadas las versiones 3.1 a 3.1.2, 3.0 a 3.0.6, 2.9 a 2.9.8, 2.8 a 2.8.12, 2.7 a 2.7.16, y versiones anteriores ya fuera de soporte.
Recomendación
  • Las versiones 3.1.3, 3.0.7, 2.9.9 y 2.7.17 solucionan todas las vulnerabilidades. Se encuentran disponibles para su descarga desde la página oficial de Moodle. http://download.moodle.org/
Más información:
Fuente: Hispasec
Publicado por en