Se han publicado dos
vulnerabilidades que afectan a la plataforma Moodle que podrían permitir a
usuarios no autenticados el envío de mensajes personalizados al administrador o
el acceso al sistema a usuarios suspendidos por el metodo OAuth 2, catalogadas
de Importancia: 4 - Alta
Recursos afectados:
Versiones afectadas:
- 3.4 a la 3.4.1
- 3.3 a la 3.3.4
- 3.2 a la 3.2.7
- 3.1 a la 3.1.10
Versiones anteriores
no soportadas
Recomendación
Actualizar a las
siguientes versiones que solucionan las vulnerabilidades:
·
3.4.2
·
3.3.5
·
3.2.8
·
3.1.11
Detalle de
vulnerabilidades
Una vulnerabilidad de
criticidad alta podría permitir que los usuarios no autenticados pudieran
enviar mensajes personalizados al administrador a través del script de
inscripción de PayPal. Se ha reservado el identificador CVE-2018-1081 para esta
vulnerabilidad.
Para la
vulnerabilidad de criticidad baja se ha reservado el siguiente identificador:
CVE-2018-1082.
Más información
- MSA-18-0006: Suspended users with OAuth 2
authentication method can still log in to the site https://moodle.org/mod/forum/discuss.php?d=367939
- MSA-18-0005: Unauthenticated users can trigger
custom messages to admin via paypal enrol script https://moodle.org/mod/forum/discuss.php?d=367938
Fuente: INCIBE