Vulnerabilidades en Moodle

Fecha de publicación 26/03/2018
Importancia
4 - Alta
Recursos Afectados

Versiones afectadas:

  • 3.4 a la 3.4.1
  • 3.3 a la 3.3.4
  • 3.2 a la 3.2.7
  • 3.1 a la 3.1.10
  • Versiones anteriores no soportadas
Descripción

Se han publicado dos vulnerabilidades que afectan a la plataforma Moodle que podrían permitir a usuarios no autenticados el envío de mensajes personalizados al administrador o el acceso al sistema a usuarios suspendidos por el método OAuth 2.

Solución

Actualizar a las siguientes versiones que solucionan las vulnerabilidades:

  • 3.4.2
  • 3.3.5
  • 3.2.8
  • 3.1.11
Detalle
  • Una vulnerabilidad de criticidad alta podría permitir que los usuarios no autenticados pudieran enviar mensajes personalizados al administrador a través del script de inscripción de PayPal. Se ha reservado el identificador CVE-2018-1081 para esta vulnerabilidad.
  • Para la vulnerabilidad de criticidad baja se ha reservado el siguiente identificador: CVE-2018-1082.

Encuesta valoración

Listado de referencias
MSA-18-0006: Suspended users with OAuth 2 authentication method can still log in to the site
MSA-18-0005: Unauthenticated users can trigger custom messages to admin via paypal enrol script
Etiquetas