Descubiertas 6 vulnerabilidades en
Moodle, 3 de criticidad alta y 3 de criticidad baja que podrían permitir a un
atacante con credenciales en el sistema obtener información de la plataforma,
ejecución del código en el servidor, acceso sin permiso a zonas de la
plataforma y generar una condición de denegación de servicio. Dichas
vulnerabilidades han sido catalogadas de
Importancia: 4 - Alta
Recursos
afectados:
Se han visto afectadas las siguientes
versiones:
• hasta 3.4.2.
• 3.3 hasta 3.3.5.
• 3.2 hasta 3.2.8.
• 3.1 hasta 3.1.11.
• y versiones
anteriores sin soporte.
Recomendación
Se han puesto a disposición de los
usuarios las siguientes actualizaciones en función de la versión:
• 3.5, 3.4.3, 3.3.6,
3.2.9 y 3.1.12
Detalle
de vulnerabilidades
Las vulnerabilidades de criticidad
alta son las siguientes:
Un atacante podría substituir la URL
en los porfolios de usuarios pudiendo instanciar cualquier clase, esto también
lo pueden llevar a cabo los usuarios invitados, provocando una condición de
denegación de servicio.
Un atacante con credenciales del
sistema podría añadir bloques HTML con scripts en su dashboard personal. Esto
podría derivar en el acceso a otras páginas donde el resto de usuarios podrían
visualizar los bloques.
Un atacante con credenciales de
profesor en la plataforma podría realizar ejecución de código en el servidor.
Más información
• Certsi.es https://www.certsi.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-moodle-2
Fuente: INCIBE
