Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en Moodle

Múltiples vulnerabilidades en Moodle

Fecha de publicación: 
16/03/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • Desde la versión 3.8, hasta la 3.8.1;
  • Desde la versión 3.7, hasta la 3.7.4;
  • Desde la versión 3.6, hasta la 3.6.8;
  • Desde la versión 3.5, hasta la 3.5.10;
  • Versiones anteriores sin soporte.
Descripción: 

Los investigadores, Brendan Heywood y Tim Hunt, ha reportado tres vulnerabilidades, una de criticidad alta y dos bajas, que afectan a Moodle. Un atacante, remoto, podría evadir las restricciones de seguridad, revelar información o inyección de código.

Solución: 

Moodle ha publicado diversas actualizaciones en función de la versión afectada:

  • 3.8.2;
  • 3.7.5;
  • 3.6.9;
  • 3.5.11.
Detalle: 

La vulnerabilidad de severidad alta podría permitir a un atacante remoto utilizar las cabeceras X-Forwarded-For para suplantar la IP de un usuario y de este modo, evadir las comprobaciones de las direcciones IP. Se ha reservado el identificador CVE-2020-1755 para esta vulnerabilidad.

A las vulnerabilidades de severidad baja se les han reservado los identificadores CVE-2020-1754 y CVE-2020-1756.

Encuesta valoración