Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en Moodle

Múltiples vulnerabilidades en Moodle

Fecha de publicación: 
15/03/2021
Importancia: 
5 - Crítica
Recursos afectados: 

Las versiones de Moodle que se ven afectadas son las siguientes:

  • de la 3.10 a la 3.10.1;
  • de la 3.9 a la 3.9.4;
  • de la 3.8 a la 3.8.7;
  • de la 3.5 a la 3.5.16;
  • versiones anteriores no soportadas.
Descripción: 

Se han publicado 7 vulnerabilidades en Moodle, 2 de severidad crítica y 5 de severidad baja, que podrían permitir a un atacante realizar ataques de tipo XSS almacenado o SSRF ciego.

Solución: 

Aplicar las siguientes actualizaciones, en función de la versión afectada:

  • 3.10.2;
  • 3.9.5;
  • 3.8.8;
  • 3.5.17.
Detalle: 
  • Una validación o filtrado insuficientes en el campo para introducir el ID del usuario podría permitir a un usuario malintencionado realizar un ataque de tipo XSS almacenado (stored). Se ha asignado el identificador CVE-2021-20279 para esta vulnerabilidad crítica.
  • Un filtrado insuficiente en las respuestas de feedback podría permitir a un usuario malintencionado realizar un ataque de tipo XSS almacenado o SSRF ciego (blind). Se ha asignado el identificador CVE-2021-20280 para esta vulnerabilidad crítica.

Para las vulnerabilidades de severidad baja, se han asignado los identificadores CVE-2020-11022, CVE-2020-11023, CVE-2021-20283, CVE-2021-20282 y CVE-2021-20281.

Encuesta valoración