Se han descubierto 6 vulnerabilidades
en la plataforma Moodle, 3 de criticidad alta y 3 de criticidad baja,
catalogadas de Importancia: 4 - Alta
Recursos
afectados:
Se han visto afectadas las siguientes
versiones, según la vulnerabilidad:
- MSA-19-0004 y MSA-19-0007: 3.6 hasta 3.6.2, 3.5
hasta 3.5.4, 3.4 hasta 3.4.7, 3.1 hasta 3.1.16 y versiones anteriores no
soportadas.
- MSA-19-0005: 3.6 hasta 3.6.2, 3.5 hasta 3.5.4 y 3.4
hasta 3.4.7
- MSA-19-0006: 3.6 hasta 3.6.2, 3.5 hasta 3.5.4, 3.4
hasta 3.4.7 y versiones anteriores no soportadas.
- MSA-19-0008: 3.6 hasta 3.6.2 y 3.5 hasta 3.5.4
- MSA-19-0009: 3.6 hasta 3.6.2
Recomendación
Se han puesto a disposición de los
usuarios las siguientes actualizaciones, en función de la vulnerabilidad:
- MSA-19-0004 y MSA-19-0007: 3.6.3, 3.5.5, 3.4.8 y
3.1.17
- MSA-19-0005 y MSA-19-0006: 3.6.3, 3.5.5 y 3.4.8
- MSA-19-0008: 3.6.3 y 3.5.5
- MSA-19-0009: 3.6.3
Detalle
de vulnerabilidades
Las vulnerabilidades de criticidad
alta son las siguientes:
- Los usuarios con la capacidad de login as other
users (como administradores) pueden acceder a los dashboards de otros
usuarios, pero el JavaScript que esos otros usuarios pueden haber añadido
a su dashboard no se escapaba cuando era visto por el usuario que iniciaba
sesión en su nombre. Se ha reservado el identificador CVE-2019-3847 para
esta vulnerabilidad.
- Los permisos no se comprobaron correctamente antes
de cargar la información de eventos en la ventana emergente modal de
edición de eventos del calendario, de modo que los usuarios no invitados
que hayan iniciado sesión pueden ver eventos de calendario no autorizados.
(Nota: Era un acceso de sólo lectura, los usuarios no podían editar los
eventos). Se ha reservado el identificador CVE-2019-3848 para esta
vulnerabilidad.
- Los usuarios pueden asignarse un rol superior al que
les corresponde dentro de los cursos o contenidos a los que se accede a
través de LTI (Learning Tools Interoperability), modificando la solicitud
al sitio web del editor de LTI. Se ha reservado el identificador
CVE-2019-3849 para esta vulnerabilidad.
Para el resto de vulnerabilidades con
criticidad baja, se han asignado los identificadores CVE-2019-3850,
CVE-2019-3851 y CVE-2019-3852.
Más
información
- Certsi https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-moodle-4
Fuente: INCIBE