Múltiples vulnerabilidades en Moodle
Fecha de publicación
25/05/2018
Importancia
4 - Alta
Recursos Afectados
Se han visto afectadas las siguientes versiones:
- 3.4 hasta 3.4.2.
- 3.3 hasta 3.3.5.
- 3.2 hasta 3.2.8.
- 3.1 hasta 3.1.11.
- y versiones anteriores sin soporte.
Descripción
<p>Se han descubierto 6 vulnerabilidades en Moodle, 3 de criticidad alta y 3 de criticidad baja. Estas vulnerabilidades podrían permitir a un atacante con credenciales en el sistema obtener información de la plataforma, ejecución del código en el servidor, acceso sin permiso a zonas de la plataforma y generar una condición de denegación de servicio.</p>
Solución
Se han puesto a disposición de los usuarios las siguientes actualizaciones en función de la versión:
- 3.5, 3.4.3, 3.3.6, 3.2.9 y 3.1.12
Detalle
Las vulnerabilidades de criticidad alta son las siguientes:
- Un atacante podría substituir la URL en los porfolios de usuarios pudiendo instanciar cualquier clase, esto también lo pueden llevar a cabo los usuarios invitados, provocando una condición de denegación de servicio.
- Un atacante con credenciales del sistema podría añadir bloques HTML con scripts en su dashboard personal. Esto podría derivar en el acceso a otras páginas donde el resto de usuarios podrían visualizar los bloques.
- Un atacante con credenciales de profesor en la plataforma podría realizar ejecución de código en el servidor.
Listado de referencias
Etiquetas