Nuevas actualizaciones de la plataforma de formación Moodle

Fecha de publicación 18/11/2019
Importancia
4 - Alta
Recursos Afectados

Versiones de Moodle: 

  • 3.7 a 3.7.2 
  • 3.6 a 3.6.6 
  • 3.5 a 3.5.8 
  • y versiones anteriores sin soporte. 
     
Descripción

La plataforma de formación online, Moodle, ha publicado actualizaciones de seguridad que afectan a tres versiones menores  que dan solución a diversas vulnerabilidades y una nueva versión principal.

Solución

Se recomienda actualizar Moodle a las últimas versiones que corrigen dichas vulnerabilidades, accediendo a los siguientes enlaces: 3.8, 3.7.3,  3.6.7 y 3.5.9 respectivamente.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117.
 

Detalle

Las actualizaciones corrigen una serie de problemas de seguridad, que se detallan a continuación:

  • Vulnerabilidades de tipo Cross Site Scripting o XSS, en alguno de los mensajes de error. 
  • Los tokens utilizados para recuperar archivos adjuntos al correo electrónico siguen activos cuando la cuenta de usuario es desactivada. Para acceder a dichos archivos, el usuario debería conocer la ruta del mismo, así como su token. 
  • Redirección abierta en la página de edición de lecciones. 
  • Vulnerabilidades de tipo XSS oculto en páginas donde se mostraba el correo electrónico del usuario.
  • Se recomienda añadir sistemas de verificación adicionales en los inicios de sesión mediante proveedores de OAuth 2 que no verifican cambios de correo del usuario, para reducir el riesgo de que la cuenta se vea comprometida.
  • Error en la eliminación de roles, ya que en algunos casos no se eliminaban las capacidades asociadas a un rol. 

Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizadas y sigue estos consejos:

Tu soporte tecnológico puede consultar una solución más técnica en el área de avisos del INCIBE-CERT.

Mejoramos contigo. Participa en nuestra encuesta