Múltiples vulnerabilidades en Moodle

Fecha de publicación:

18/11/2019

Importancia:

4 - Alta

Recursos afectados:

Las vulnerabilidades afectan a las siguientes versiones:

desde la 3.7 a la 3.7.2,
desde la 3.6 a la 3.6.6,
desde la 3.5 a la 3.5.8,
versiones anteriores sin soporte.

Descripción:

Se han publicado seis vulnerabilidades que afectan a la plataforma Moodle. Las dos de severidad más alta, podrían permitir llevar a cabo ataques de Cross Site Scripting (XSS) o comprometer la cuenta.

Solución:

Actualizar a las versiones 3.7.3, 3.6.7 y 3.5.9.

Detalle:

De las seis vulnerabilidades reportadas, cuatro son de criticidad baja y dos de criticidad alta, cuyo detalle es el siguiente:

Vulnerabilidad de Cross Site Scripting (XSS) reflejado en algunos mensajes de error. Se ha reservado el identificador CVE-2019-14884 para esta vulnerabilidad.
Algunos inicios de sesión de OAuth 2 podrían comprometer las cuentas. Se ha reservado el identificador CVE-2019-14880 para esta vulnerabilidad.

Para el resto de vulnerabilidades, se han reservado los siguientes identificadores: CVE-2019-14879, CVE-2019-14881, CVE-2019-14882 y CVE-2019-14883.

Referencias:

MSA-19-0024: Assigned Role in Cohort did not un-assign on removal

MSA-19-0025: Add additional verification for some OAuth 2 logins to prevent account compromise

MSA-19-0026: Blind XSS reflected in some locations where user email is displayed

MSA-19-0027: Open redirect in Lesson edit page

MSA-19-0028: Email media URL tokens were not checking for user status

MSA-19-0029: Reflected XSS possible from some fatal error messages

Etiquetas:

Actualización

CMS

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en Moodle

Vulnerabilidades 0day en chipsets Exynos de Samsung

Múltiples vulnerabilidades en el core de Drupal

Actualización de seguridad de SAP de marzo de 2023

Múltiples vulnerabilidades en productos ClearPass Policy Manager de Aruba

Actualizaciones de seguridad de Microsoft de marzo de 2023