Múltiples vulnerabilidades en Moodle
Fecha de publicación 23/06/2026
Identificador
INCIBE-2026-450
Importancia
5 - Crítica
Recursos Afectados
5.2, 5.1 a 5.1.4, 5.0 a 5.0.7, 4.5 a 4.5.11 y versiones anteriores no compatibles.
Descripción
Moodle ha publicado 18 vulnerabilidades: 9 de severidad alta, que de ser explotadas, podrían permitir a un atacante poner en riesgo la información.
Solución
Actualizar a las siguientes versiones 5.2.1, 5.1.5, 5.0.8 y 4.5.12.
Detalle
Aun no se ha asignado CVE a las vulnerabilidades, pero Moodle les ha asignado un identificador propio. Estos se describen a continuación:
- MDL-87898 Riesgo de denegación de servicio (DoS) a través de la descripción del perfil de usuario.
- MDL-88529 Falta la comprobación de capacidad en la asignación del marcador de asignación.
- MDL-88531 Riesgo de CSRF en la recalificación de intentos de cuestionario.
- MDL-88542 CSRF y XSS en la edición del número de identificación del elemento de grado.
- MDL-88619 IDOR permite la eliminación arbitraria de comentarios.
- MDL-88667 Faltan comprobaciones de acceso de grupo en los servicios web de calificaciones.
- MDL-88735 Riesgo de RCE mediante la importación de preajustes de administrador.
- MDL-88736 Riesgo de lectura arbitraria de archivos en la restauración de copias de seguridad.
- MDL-88767 Omisión de MFA basada en correo electrónico.
- MDL-88595 Riesgo de lectura arbitraria de archivos en el módulo de actividad de la base de datos.
CVE
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
Listado de referencias
