Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en el core de Moodle

Múltiples vulnerabilidades en el core de Moodle

Fecha de publicación: 
20/01/2016
Importancia: 
3 - Media
Recursos afectados: 

Las versiones 2.8.x, 2.9.x y 3.0.x están afectadas.

Descripción: 

Se han identificado varias vulnerabilidades en el gestor de contenidos Moodle que pueden permitir el acceso a información oculta, las explotación de vulnerabilidades XSS y CSRF, etc.

Solución: 

Se han publicado varias versiones actualizadas (2.7.12, 2.8.10, 2.9.4, 3.0.2) que corrigen estos fallos.

Detalle: 

Se han identificado los siguientes fallos:

  • Vulnerabilidad XSS en el buscador de administración de cursos. Se ha reservado el identificador CVE-2016-0725.
  • Algunos web services no validan correctamente los permisos de los usuarios para acceder a cursos ocultos. Se ha reservado el identificador CVE-2016-0724.
  • Los usuarios pueden eliminar y enviar nuevas solicitudes aunque esté desactivada dicha funcionalidad. Se ha reservado el identificador CVE-2015-5342.
  • El módulo SCORM permite sortear las restricciones de acceso basadas en fecha. Se ha reservado el identificador CVE-2015-5341.
  • Los usuarios autenticados, pese a no tener asignados los permisos para poder visualizar los badges no conseguidos, pueden visualizar la totalidad de ellos. Se ha reservado el identificador CVE-2015-5340.
  • Es posible obtener el listado completo de inscritos a un curso pese a que pertenezcan a diferentes grupos. Se ha reservado el identificador CVE-2015-5339.
  • Vulnerabilidad CSRF en los módulos con lecciones protegidas mediante contraseña. Se ha reservado el identificador CVE-2015-5338.
  • Vulnerabilidad XSS en el visor de flash Flowplayer. Se ha reservado el identificador CVE-2015-5337.
  • Vulnerabilidad XSS en el sistema de encuestas. Se ha reservado el identificador CVE-2015-5336.
  • Vulnerabilidad CSRF en el formulario de registro. Se ha reservado el identificador CVE-2015-5335.