Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en Moodle

Múltiples vulnerabilidades en Moodle

Fecha de publicación: 
25/01/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Versión 3.10;
  • desde la versión 3.9, hasta la 3.9.3;
  • desde la versión 3.8, hasta la 3.8.6;
  • desde la versión 3.5, hasta la 3.5.15;
  • versiones anteriores sin soporte.
Descripción: 

Se han publicado 5 vulnerabilidades en Moodle, 3 de severidad crítica y 2 de severidad baja, que podrían permitir ataques de tipo XSS, la ejecución arbitraria de código PHP, la divulgación de información o la denegación de servicio en el lado del cliente.

Solución: 

Aplicar las siguientes actualizaciones, en función de la versión afectada:

  • 3.10.1;
  • 3.9.4;
  • 3.8.7;
  • 3.5.16.
Detalle: 
  • La validación insuficiente de las consultas de búsqueda, desde la plantilla de búsqueda de entradas, podría permitir a un atacante llevar a cabo ataques XSS reflejados. Se ha asignado el identificador CVE-2021-20183 para esta vulnerabilidad.
  • El saneado insuficiente del contenido TeX, cuando el filtro de notación TeX está activado, podría permitir a un atacante llevar a cabo ataques del tipo XSS almacenado. Se ha asignado el identificador CVE-2021-20186 para esta vulnerabilidad.
  • Los administradores del sitio podrían ejecutar scripts PHP arbitrarios a través de un include PHP, utilizado durante la autenticación de Shibboleth. Se ha asignado el identificador CVE-2021-20187 para esta vulnerabilidad.

Para el resto de vulnerabilidades, de severidad baja, se han asignado los identificadores CVE-2021-20184 y CVE-2021-20185.

Encuesta valoración