Múltiples vulnerabilidades en Moodle

Fecha de publicación 18/11/2019
Importancia
4 - Alta
Recursos Afectados

Las vulnerabilidades afectan a las siguientes versiones:

  • desde la 3.7 a la 3.7.2,
  • desde la 3.6 a la 3.6.6,
  • desde la 3.5 a la 3.5.8,
  • versiones anteriores sin soporte.
Descripción

Se han publicado seis vulnerabilidades que afectan a la plataforma Moodle. Las dos de severidad más alta, podrían permitir llevar a cabo ataques de Cross Site Scripting (XSS) o comprometer la cuenta.

Solución

Actualizar a las versiones 3.7.3, 3.6.7 y 3.5.9.

Detalle

De las seis vulnerabilidades reportadas, cuatro son de criticidad baja y dos de criticidad alta, cuyo detalle es el siguiente:

  • Vulnerabilidad de Cross Site Scripting (XSS) reflejado en algunos mensajes de error. Se ha reservado el identificador CVE-2019-14884 para esta vulnerabilidad.
  • Algunos inicios de sesión de OAuth 2 podrían comprometer las cuentas. Se ha reservado el identificador CVE-2019-14880 para esta vulnerabilidad.

Para el resto de vulnerabilidades, se han reservado los siguientes identificadores: CVE-2019-14879, CVE-2019-14881, CVE-2019-14882 y CVE-2019-14883.

Encuesta valoración

Listado de referencias
MSA-19-0024: Assigned Role in Cohort did not un-assign on removal
MSA-19-0025: Add additional verification for some OAuth 2 logins to prevent account compromise
MSA-19-0026: Blind XSS reflected in some locations where user email is displayed
MSA-19-0027: Open redirect in Lesson edit page
MSA-19-0028: Email media URL tokens were not checking for user status
MSA-19-0029: Reflected XSS possible from some fatal error messages
Etiquetas