Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en plugins de Moodle de Innovación y Cualificación

Fecha de publicación 11/03/2025
Identificador
INCIBE-2025-0131
Importancia
5 - Crítica
Recursos Afectados

Los siguientes plugins de Moodle están afectados:

  • plugin IcProgreso;
  • plugin local administración ajax.php.
Descripción

INCIBE ha coordinado la publicación de 4 vulnerabilidades: 2 de severidad crítica y 2 de severidad media, que afectan a los plugins de Moodle administración e IcProgreso de Innovación y Cualificación. Las vulnerabilidades han sido descubiertas por Julen Garrido Estevez.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-2199 y CVE-2025-2200: CVSS v4.0: 9.3 | CVSS /AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
  • CVE-2025-2201 y CVE-2025-2202: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-863
Solución

Innovación y Cualificación ha lanzado una nueva versión que corrige las vulnerabilidades detectadas en los plugins afectados. Se ha procedido a la implantación de la misma en todas las instalaciones del software afectado, completándose el proceso en diciembre del 2024.

Detalle
  • CVE-2025-2199: vulnerabilidad de inyección SQL en el plugin local de administración ajax.php de Innovación y Cualificación. Esta vulnerabilidad permite a un atacante obtener, actualizar y borrar datos de la base de datos mediante la inyección de una consulta SQL en “buscarAccionesParaActualizar”, “buscarEspecialidadesPendientes”, “buscarEspecialidadesVinculadas”, “buscarUsuariosParaActualizarPerfil”, “datos_accion_formativa”, “mostrarCursosFormacionContinua” y “mostrarUsuariosParaEdicion” en /local/administracion/ajax.php.
  • CVE-2025-2200: vulnerabilidad de inyección SQL en el plugin IcProgreso de Innovación y Cualificación. Esta vulnerabilidad permite a un atacante obtener, actualizar y borrar datos de la base de datos mediante la inyección de una consulta SQL en los parámetros user, id, idGrupo, fecha_inicio y fecha_fin en el endpoint /report/icprogreso/generar_bloques.php.
  • CVE-2025-2201: vulnerabilidad de control de acceso defectuoso en el plugin IcProgreso de Innovación y Cualificación. Esta vulnerabilidad permite a un atacante obtener información sensible sobre otros usuarios como direcciones IP públicas, mensajes con otros usuarios y más.
  • CVE-2025-2202: vulnerabilidad de control de acceso defectuoso en el plugin local de administración ajax.php de Innovación y Cualificación. Esta vulnerabilidad permite a un atacante obtener información sensible sobre otros usuarios como id, nombre, login y email.
Listado de referencias
Innovación y Cualificación : web del fabricante
Etiquetas