Inicio / Content / Boletín de INCIBE-CERT del 18-05-2021

Boletín de INCIBE-CERT del 18-05-2021

Múltiples vulnerabilidades en Moodle

Fecha de publicación: 
18/05/2021
Importancia: 
5 - Crítica
Recursos afectados: 

Las versiones de Moodle que se ven afectadas son las siguientes:

  • de la 3.10 a la 3.10.3;
  • de la 3.9 a la 3.9.6;
  • de la 3.8 a la 3.8.8;
  • de la 3.5 a la 3.5.17;
  • versiones anteriores no soportadas.
Descripción: 

Se han publicado 8 vulnerabilidades en Moodle, 5 de severidad crítica y 3 de severidad baja, que podrían permitir a un atacante exportar las publicaciones de todos los cursos, realizar inyecciones SQL, ataques XSS y DoS y acceso a información restringida a administradores.

Solución: 

Actualizar a las versiones:

  • 3.11;
  • 3.10.4;
  • 3.9.7;
  • 3.8.9;
  • 3.5.18.
Detalle: 
  • Los profesores que exportan un foro en formato CSV podrían recibir un CSV con los foros de todos los cursos en algunas circunstancias. Se ha asignado el identificador CVE-2021-32472 para esta vulnerabilidad.
  • Un estudiante podía ver la nota de su cuestionario antes de que se hubiera publicado, utilizando un servicio web de cuestionarios. Se ha asignado el identificador CVE-2021-32473 para esta vulnerabilidad.
  • Inyección SQL en los sitios con MNet habilitado y configurado, a través de una llamada XML-RPC desde el host par conectado, siempre y cuando se tuviese acceso del administrador del sitio o acceso al par de claves. Se ha asignado el identificador CVE-2021-32474 para esta vulnerabilidad.
  • Denegación de servicio (DoS) en el área de archivos de borrador, debido a que no respeta los límites de carga de archivos de los usuarios. Se ha asignado el identificador CVE-2021-32476 para esta vulnerabilidad.
  • La biblioteca H5P PHP incluida en Moodle ha sido actualizada a la última versión minor, que incluye una corrección de seguridad.

Para el resto de vulnerabilidades, con severidad baja, se han asignado los identificadores: CVE-2021-32475, CVE-2021-32477 y CVE-2021-32478.

Encuesta valoración