Múltiples vulnerabilidades en plugins de Moodle de Innovación y Cualificación
Los siguientes plugins de Moodle están afectados:
- plugin IcProgreso;
- plugin local administración ajax.php.
INCIBE ha coordinado la publicación de 4 vulnerabilidades: 2 de severidad crítica y 2 de severidad media, que afectan a los plugins de Moodle administración e IcProgreso de Innovación y Cualificación. Las vulnerabilidades han sido descubiertas por Julen Garrido Estevez.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2025-2199 y CVE-2025-2200: CVSS v4.0: 9.3 | CVSS /AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
- CVE-2025-2201 y CVE-2025-2202: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-863
Innovación y Cualificación ha lanzado una nueva versión que corrige las vulnerabilidades detectadas en los plugins afectados. Se ha procedido a la implantación de la misma en todas las instalaciones del software afectado, completándose el proceso en diciembre del 2024.
- CVE-2025-2199: vulnerabilidad de inyección SQL en el plugin local de administración ajax.php de Innovación y Cualificación. Esta vulnerabilidad permite a un atacante obtener, actualizar y borrar datos de la base de datos mediante la inyección de una consulta SQL en “buscarAccionesParaActualizar”, “buscarEspecialidadesPendientes”, “buscarEspecialidadesVinculadas”, “buscarUsuariosParaActualizarPerfil”, “datos_accion_formativa”, “mostrarCursosFormacionContinua” y “mostrarUsuariosParaEdicion” en /local/administracion/ajax.php.
- CVE-2025-2200: vulnerabilidad de inyección SQL en el plugin IcProgreso de Innovación y Cualificación. Esta vulnerabilidad permite a un atacante obtener, actualizar y borrar datos de la base de datos mediante la inyección de una consulta SQL en los parámetros user, id, idGrupo, fecha_inicio y fecha_fin en el endpoint /report/icprogreso/generar_bloques.php.
- CVE-2025-2201: vulnerabilidad de control de acceso defectuoso en el plugin IcProgreso de Innovación y Cualificación. Esta vulnerabilidad permite a un atacante obtener información sensible sobre otros usuarios como direcciones IP públicas, mensajes con otros usuarios y más.
- CVE-2025-2202: vulnerabilidad de control de acceso defectuoso en el plugin local de administración ajax.php de Innovación y Cualificación. Esta vulnerabilidad permite a un atacante obtener información sensible sobre otros usuarios como id, nombre, login y email.