Múltiples vulnerabilidades en Moodle

Fecha de publicación:

18/09/2017

Importancia:

4 - Alta

Recursos afectados:

Las siguientes versiones de Moodle se ven afectadas por las vulnerabilidades descritas:

versiones 3.1 a 3.1.7 y versiones anteriores no soportadas
versiones 3.2 a 3.2.4
versiones 3.3 a 3.3.1

Descripción:

Se han publicado cuatro vulnerabilidades que afectan a la plataforma Moodle, una de las cuales podría permitir la exposición de scripts peligrosos en la web.

Solución:

Actualizar a las versiones 3.3.2, 3.2.5 y 3.1.8 que solucionan las vulnerabilidades.

Detalle:

De las cuatro vulnerabilidades reportadas, tres son de criticidad baja y una de criticidad alta, cuyo detalle es el siguiente:

Riesgo de seguridad al exponer el directorio vendor: los directorios vendedor/ y node_modules/ que son creados por el composer y utilizados durante la ejecución de Moodle pueden exponer scripts peligrosos en la web y nunca deben permanecer en entornos de producción. El administrador del sitio debe eliminar manualmente estos directorios o restringir el acceso a ellos desde la web.

Referencias:

MSA-17-0020: Admins may not know that exposing vendor directory is a security risk

MSA-17-0019: user_can_view_profile() incorrectly assumes $course as shared course

MSA-17-0018: Course reports are not respecting group settings in courses

MSA-17-0017: XSS in contact form on "non-respondents" page in non-anonymous feedback

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en Moodle

Múltiples vulnerabilidades en Moodle

Múltiples vulnerabilidades en HPE PPU UCS Meter

Múltiples vulnerabilidades en productos Netgear

Vulnerabilidades en el core de Drupal

Escalada de privilegios en productos Intel