Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en Moodle

Múltiples vulnerabilidades en Moodle

Fecha de publicación: 
17/11/2014
Importancia: 
5 - Crítica
Recursos afectados: 

Las vulnerabilidades afectan a versiones distintas de la plataforma. De forma genérica, las versiones afectadas son:

  • De la versión 2.7 a la versión 2.7.2.
  • De la versión 2.6 a la versión 2.6.5.
  • De la versión 2.5 a la versión 2.5.8.
Descripción: 

Moodle ha publicado actualizaciones para resolver un total de 10 vulnerabilidades que afectan su plataforma.

Solución: 

Las vulnerabilidades se corrigen actualizando la plataforma a alguna de las nuevas versiones de la plataforma publicadas por Moodle. En el siguiente enlace se puede ver de forma detallada la manera de proceder dependiendo de la versión y la vulnerabilidad. En resumen:

  • Actualizar a la versión 2.8.
  • Actualizar de versiones 2.7.x a la versión 2.7.3.
  • Actualizar de versiones 2.6.x a la versión 2.6.6.
  • Actualizar de versiones 2.5.x a la versión 2.5.9.
Detalle: 

Riesgo alto:

  • MSA-14-0046: vulnerabilidad CSRF en el fichero mod/lti/request_tool.php y mod/lti/instructor_edit_tool_type.php.
  • MSA-14-0045: vulnerabilidad XSS a través de la interfaz de subida de ficheros del usuario.
  • MSA-14-0041: usuarios sin privilegios pueden acceder a la lista de etiquetas del sistema.

Riesgo bajo:

  • MSA-14-0049: permite a un atacante introducir un mensaje aleatorio en la cadena de consulta de una URL, provocado por una validación incorrecta en el fichero mod/lti/return.php.
  • MSA-14-0048: vulnerabilidad CSRF en el fichero mod/forum/settracking.php.
  • MSA-14-0047: la validación incorrecta de los parámetros en el fichero mod/wiki/admin.php permite eliminar contenidos de otra Wiki en el mismo curso a usuarios con permisos para eliminar páginas.
  • MSA-14-0044: un usuario puede visualizar un mensaje con la ruta de instalación de Moodle al acceder directamente a un fichero interno.
  • MSA-14-0043: los permisos de grupo no son comprobados al utilizar la función de web service de las discusiones del foro.
  • MSA-14-0042: el código utilizado para geolocalizar direcciones IP está disponible para usuarios no autenticados.
  • MSA-14-0040: Los registros en la base de datos referentes a un nivel de usuarios pueden ser accesibles por usuarios de otros grupos.
Etiquetas: