Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Moodle

Fecha de publicación 18/02/2026
Identificador
INCIBE-2026-125
Importancia
5 - Crítica
Recursos Afectados
  • 4.5 a 4.5.8 (CVE-2024-51736);
  • 5.1 a 5.1.1, 5.0 a 5.0.4, 4.5 a 4.5.8 y versiones anteriores no compatibles (CVE-2026-26047);
  • 5.1.2, 5.0.5 y 4.5.9 (CVE-2026-26046 y CVE-2026-26045).
Descripción

 Michael Hawkins ha reportado 4 vulnerabilidades de severidad crítica que de ser explotadas podría permitir inyección de comandos, denegación de servicio o ejecución de código remoto, 

Solución

Actualizar a las versiones correspondientes:

5.1.2, 5.0.5 y 4.5.9.

Detalle
  • CVE-2024-51736: la versión del módulo de proceso Symfony original requiere una actualización para eliminar un riesgo de inyección de comandos en los sistemas Windows.
  • CVE-2026-26047: la representación de contenido TeX con mimetex en el editor de fórmulas requirió limitaciones de tiempo de ejecución para evitar un riesgo de denegación de servicio.
  • CVE-2026-26046: se requirió una desinfección adicional en una configuración de administración de filtro TeX para evitar un riesgo de ejecución remota de código.
  • CVE-2026-26045: se identificó un riesgo de ejecución de código remoto en la funcionalidad de restauración de archivos.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2024-51736 Crítica No Moodle
CVE-2026-26047 Crítica No Moodle
CVE-2026-26046 Crítica No Moodle
CVE-2026-26045 Crítica No Moodle
Listado de referencias
MSA-26-0004: Actualizar la versión del módulo de proceso de Symfony para evitar un riesgo de seguridad (upstream)
MSA-26-0003: Denial of service risk in TeX formula editor
MSA-26-0002: Remote code execution risk in TeX filter admin setting
MSA-26-0001: Remote code execution risk via file restore
Etiquetas