Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad de salto de directorio en Moodle

Vulnerabilidad de salto de directorio en Moodle

Fecha de publicación: 
09/02/2015
Importancia: 
4 - Alta
Recursos afectados: 
  • Versiones de Moodle 2.8 a 2.8.2, 2.7 a 2.7.4, 2.6 a 2.6.7
  • Las versiones no soportadas, pero afectadas más recientes y que requieren una actualización manual son la 2.3 (windows) y 2.5 (otros sistemas operativos)
Descripción: 

La incorrecta verificación de un parámetro utilizado en código javascript permite leer ficheros fuera del directorio de Moodle.

Solución: 

Se han publicado las versiones actualizadas 2.8.3, 2.7.5 y 2.6.8, y dispuesto los parches necesarios para todas las versiones afectadas.

Moodle recomienda la aplicación manual de los parches para todas las versiones afectadas y que ya no son soportadas.

Los cambios y correcciones pueden obtenerse en el siguiente enlace.

Detalle: 

El parámetro "file" que es utilizado por código JS en Moodle no es verificado adecuadamente y permite la inclusión de la cadena "../", lo que posibilita leer ficheros que se encuentran fuera del directorio de Moodle.