Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en Moodle

Múltiples vulnerabilidades en Moodle

Fecha de publicación: 
21/07/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • Versión 3.9;
  • Desde la versión 3.8, hasta la 3.8.3;
  • desde la versión 3.7, hasta la 3.7.6;
  • desde la versión 3.5, hasta la 3.5.12;
  • versiones anteriores sin soporte.
Descripción: 

Se han publicado múltiples vulnerabilidades que podrían permitir a un atacante la denegación del servicio, escalada de privilegios, ataques XXS reflejado o contaminación de prototipo.

Solución: 

Moodle ha publicado diversas actualizaciones en función de la versión afectada:

  • 3.9.1;
  • 3.8.4;
  • 3.7.7;
  • 3.5.13.
Detalle: 
  • No limitar la cantidad de archivos que se pueden cargar en la plataforma podría suponer un riesgo de denegación de servicio. Se ha reservado el identificador CVE-2020-14322 para esta vulnerabilidad.
  • Los profesores de un curso podrían asignarse a sí mismos el rol de manager dentro de ese curso. Se ha reservado el identificador CVE-2020-14321 para esta vulnerabilidad.
  • El saneamiento inadecuado del filtro en el registro de tareas del administrador podría permitir a un atacante llevar a cabo ataques XSS reflejado. Se ha reservado el identificador CVE-2020-14320 para esta vulnerabilidad.
  • La versión de JQuery utilizada por la biblioteca H5P podría permitir a un atacante la contaminación de prototipo. Se ha reservado el identificador CVE-2019-11358 para esta vulnerabilidad.

Encuesta valoración