Descubiertas 3 vulnerabilidades
en Moodle, una de criticidad alta y 2 de criticidad baja. Estas
vulnerabilidades podrían ocasionar un XSS reflejado (o indirecto) o una
inyección y ejecución de código PHP; además, se ha actualizado una librería de
terceros como medida de precaución, catalogadas de Importancia: 4 - Alta
Recursos
afectados:
Se han visto afectadas las siguientes
versiones, según la vulnerabilidad:
- MSA-18-0019: 3.5 hasta 3.5.1, 3.4
hasta 3.4.4, 3.3 hasta 3.3.7 y versiones anteriores sin soporte.
- MSA-18-0018: 3.5 hasta 3.5.1, 3.4
hasta 3.4.4, 3.3 hasta 3.3.7, 3.1 hasta 3.1.13 y versiones anteriores sin
soporte.
- MSA-18-0017: 3.5 hasta 3.5.1, 3.4
hasta 3.4.4, 3.1 hasta 3.1.13 y versiones anteriores sin soporte.
Recomendación
Se han puesto a disposición de los
usuarios las siguientes actualizaciones en función de la vulnerabilidad:
- MSA-18-0019: 3.5.2, 3.4.5 y
3.3.8.
- MSA-18-0018 y MSA-18-0017: 3.5.2,
3.4.5, 3.3.8 y 3.1.14.
Detalle
de vulnerabilidades
La vulnerabilidad de criticidad alta
es la siguiente:
Al importar preguntas de prueba
heredadas con el método drag and drop into text, un atacante podría inyectar y
ejecutar código PHP en las preguntas importadas, ya sea intencionadamente o
importando preguntas de una fuente no confiable.
Se han reservado los siguientes
identificadores para estas vulnerabilidades: CVE-2018-14631 (MSA-18-0019),
CVE-2018-1999022 (MSA-18-0018) y CVE-2018-14630 (MSA-18-0017).
Más
información
Fuente: Hispasec