Moodle ha publicado cuatro alertas de
seguridad en las que se corrigen otras tantas vulnerabilidades que podrían
permitir el acceso a información sensible, construir ataques de cross-site
scripting o la ejecución de código remoto.
Moodle es una popular plataforma
educativa de código abierto que permite a los educadores crear y gestionar
tanto usuarios como cursos de modalidad e-learning. Además proporciona
herramientas para la comunicación entre formadores y alumnos.
Detalle de la
actualización
· Se
han publicado cuatro boletines de seguridad (MSA-17-0004 y MSA-17-0006 al
MSA-17-0009), dos de ellos considerados como de gravedad seria y los otros dos
como de importancia menor.
·
El
problema que puede ser considerado de mayor gravedad reside en una inyección
SQL a través de las preferencias de usuario en Moodle 3.2. El problema podría
permitir la ejecución de código arbitrario en Moodle 3.2.1. Afecta a todas las
versiones Moodle, aunque en versiones anteriores a la 3.2 solo puede explotarse
por administradores a través de servicios web.
· También
de gravedad alta un cross-site scripting (CVE-2017-2645) en archivos adjuntados
como evidencia de aprendizajes anteriores. Afecta a versiones 3.2 a 3.2.1 y 3.1
a 3.1.4.
·
De
gravedad menor, una búsqueda global puede permitir a usuarios invitados obtener
los nombres de todos los usuarios (CVE-2017-2643). Afecta a versiones 3.2 a
3.2.1. Por último, usuarios registrados pueden presentar una evidencia de
aprendizaje previo que incluya un cross-site scripting que se ejecutará por
otro usuario que intente editar la misma evidencia (CVE-2017-2644).
Recomendación
·
Las
versiones 3.2.2, 3.1.5, 3.0.9 y 2.7.19 solucionan todas las vulnerabilidades.
Se encuentran disponibles para su descarga desde la página oficial de Moodle. http://download.moodle.org/
Más información:
·
Security
Announcements https://moodle.org/security/
·
MSA-17-0005:
SQL injection via user preferences https://moodle.org/mod/forum/discuss.php?d=349419
·
MSA-17-0007:
Global search displays user names for unauthenticated users https://moodle.org/mod/forum/discuss.php?d=349420
·
MSA-17-0008:
XSS in evidence of prior learning https://moodle.org/mod/forum/discuss.php?d=349421
·
MSA-17-0009:
XSS in attachments to evidence of prior learning https://moodle.org/mod/forum/discuss.php?d=349422
Fuente: Hispasec