Acceso a información sensible desprotegida en Moodle

Fecha de publicación 12/09/2024
Importancia
5 - Crítica
Recursos Afectados

Moodle, versiones:

  • 4.1 hasta la 4.1.12;
  • 4.2 hasta la 4.2.9;
  • 4.3 hasta la 4.3.6;
  • 4.4 hasta la 4.4.2;
  • Versiones anteriores sin soporte.
Descripción

Moodle ha publicado 3 nuevas vulnerabilidades, 1 de ellas crítica y las otras 2 bajas. La explotación de estas vulnerabilidades podría permitir el acceso sin autorización, la escalada de privilegios y el borrado del sistema de doble autenticación.

En la detección de estas vulnerabilidades, han participado los investigadores Frédéric Massart, Trevor McCready y TaiYou.

Solución

Actualizar a las versiones:

  • 4.1.13;
  • 4.2.10;
  • 4.3.7;
  • 4.4.3.
Detalle

Todas las tablas dinámicas que requieran acceso por no-administradores, no aplican comprobaciones de capacidad, lo que permitiría a los usuarios sin privilegios acceder a información sensible. Se ha asignado el identificador CVE-2024-45689 para esta vulnerabilidad.

El resto de vulnerabilidades no críticas puede consultarse en las referencias.