Inicio / Content / Boletín de INCIBE-CERT del 20-07-2021

Boletín de INCIBE-CERT del 20-07-2021

Múltiples vulnerabilidades en Moodle

Fecha de publicación: 
20/07/2021
Importancia: 
5 - Crítica
Recursos afectados: 

Las versiones de Moodle que se ven afectadas son las siguientes:

  • 3.11,
  • de la 3.10 a la 3.10.4,
  • de la 3.9 a la 3.9.7,
  • versiones anteriores no soportadas
Descripción: 
Se han publicado 6 vulnerabilidades de severidad crítica que podrían permitir a un atacante eliminar mensajes de usuarios, establecer una condición de denegación de servicio (DoS), ejecutar código de forma remota, realizar ataques de inyección SQL o de tipo SSRF ciego.
Solución: 

Actualizar a las versiones:

  • 3.11.1,
  • 3.10.5,
  • 3.9.8.
Detalle: 
  • Una vulnerabilidad de comprobación de capacidad insuficiente podría permitir que la eliminación de mensajes no esté limitada al usuario actual. Se ha asignado el identificador CVE-2021-36397 para esta vulnerabilidad.
  • Un incorrecto manejo de redireccionamiento podría permitir a un atacante eludir las restricciones de hosts cURL bloqueados / puertos permitidos, haciendo posible ataques de tipo SSRF ciego. Se ha asignado el identificador CVE-2021-36396 para esta vulnerabilidad.
  • Un cURL recursivo en el repositorio de archivos podría permitir a un atacante establecer una condición de denegación de servicio. Se ha asignado el identificador CVE-2021-36395 para esta vulnerabilidad.
  • Una vulnerabilidad en el método de autenticación de Shibboleth podría permitir a un atacante ejecutar código de forma remota. Se ha asignado el identificador CVE-2021-36394 para esta vulnerabilidad.
  • Una vulnerabilidad en las bibliotecas dedicadas a la búsqueda de los cursos recientes o en los que se encuentra inscrito un usuario, podría permitir a un atacante realizar un ataque de inyección SQL. Se han asignado los identificadores CVE-2021-36393 y CVE-2021-36392 para esta vulnerabilidad.