Inicio / Content / Boletín de INCIBE-CERT del 24-01-2022

Boletín de INCIBE-CERT del 24-01-2022

Múltiples vulnerabilidades en Moodle

Fecha de publicación: 
24/01/2022
Importancia: 
5 - Crítica
Recursos afectados: 

Versiones:

  • de la 3.11 a la 3.11.4;
  • de la 3.10 a la 3.10.8;
  • de la 3.9 a la 3.9.11;
  • versiones anteriores no soportadas.
Descripción: 

Los investigadores Paul Holden, Ostapbender, oct0pus7 y Deds Castillo han reportado 4 vulnerabilidades: 2 de severidad crítica y 2 medias, por las que un atacante podría realizar una inyección SQL, una vulnerabilidad CSRF y el acceso CRUD a los eventos del calendario y los informes de calificaciones no autorizados.

Solución: 

Actualizar a las versiones 3.11.5, 3.10.9 y 3.9.12, respectivamente.

Detalle: 
  • Riesgo de inyección SQL en el código de obtención de actividad h5p intentos de usuario. Se ha asignado el identificador CVE-2022-0332 para esta vulnerabilidad.
  • Riesgo de CSRF en la eliminación de la alineación de insignias. Se ha asignado el identificador CVE-2022-0335 para esta vulnerabilidad.

Para el resto de las vulnerabilidades de severidad media se han asignado los identificadores CVE-2022-0333 y CVE-2022-0334.

Encuesta valoración