Múltiples vulnerabilidades en Moodle

Fecha de publicación 17/09/2019
Importancia
4 - Alta
Recursos Afectados

Desde la versión 3.7 hasta 3.7.1, 3.6 hasta 3.6.5, 3.5 hasta 3.5.7 y versiones anteriores sin soporte.

Descripción

Se han descubierto 6 vulnerabilidades en la plataforma Moodle, 2 de criticidad alta y 4 de criticidad baja.

Solución

Actualizar a las versiones 3.7.2, 3.6.6 y 3.5.8.

Detalle
  • Una vulnerabilidad de criticidad alta podría permitir a un atacante inyección de código en algunas plantillas. Se ha reservado el identificador CVE-2019-14827 para esta vulnerabilidad.
  • Una vulnerabilidad de criticidad alta podría dejar expuesto el token de acceso en usuarios que utilizasen un dispositivo móvil. Esto no afecta a usuarios que utilizasen la app como método de acceso o los sitios con un esquema de URL forzada configurado, con el servicio móvil desactivado. Se ha reservado el identificador CVE-2019-14830 para esta vulnerabilidad.
  • Al resto de vulnerabilidades de severidad baja se les han reservado los identificadores CVE-2019-14828, CVE-2019-14829 y CVE-2019-14831.

Encuesta valoración

Listado de referencias
MSA-19-0018: JavaScript injection possible in some Mustache templates via recursive rendering from contexts
MSA-19-0019: Course creation did not check the creator's role assignment capability before automatically assigning them as a teacher in the course
MSA-19-0020: Python Machine Learning dependency versions bumped
MSA-19-0021: Activity :addinstance capabilities were not respected when creating a course in single activity format
MSA-19-0022: Open redirect in the mobile launch endpoint could be used to expose mobile access tokens
MSA-19-0023: Forum subscribe link contained an open redirect if forced subscription mode was enabled
Etiquetas