Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en Moodle

Múltiples vulnerabilidades en Moodle

Fecha de publicación: 
25/05/2018
Importancia: 
4 - Alta
Recursos afectados: 

Se han visto afectadas las siguientes versiones:

  • 3.4 hasta 3.4.2.
  • 3.3 hasta 3.3.5.
  • 3.2 hasta 3.2.8.
  • 3.1 hasta 3.1.11.
  • y versiones anteriores sin soporte.
Descripción: 

<p>Se han descubierto 6 vulnerabilidades en Moodle, 3 de criticidad alta y 3 de criticidad baja. Estas vulnerabilidades podrían permitir a un atacante con credenciales en el sistema&nbsp;obtener información de la plataforma, ejecución del código en el servidor,&nbsp;acceso sin permiso a zonas de la plataforma y generar una condición de denegación de servicio.</p>
 

Solución: 

Se han puesto a disposición de los usuarios las siguientes actualizaciones en función de la versión:

  •  3.5, 3.4.3, 3.3.6, 3.2.9 y 3.1.12
Detalle: 

Las vulnerabilidades de criticidad alta son las siguientes:

  • Un atacante podría substituir la URL en los porfolios de usuarios pudiendo instanciar cualquier clase, esto también lo pueden llevar a cabo los usuarios invitados, provocando una condición de denegación de servicio.
  • Un atacante con credenciales del sistema podría añadir bloques HTML con scripts en su dashboard personal. Esto podría derivar en el acceso a otras páginas donde el resto de usuarios podrían visualizar los bloques.
  • Un atacante con credenciales de profesor en la plataforma podría realizar ejecución de código en el servidor.

Encuesta valoración