Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Moodle

Fecha de publicación 22/04/2025
Identificador
INCIBE-2025-0197
Importancia
5 - Crítica
Recursos Afectados

Moodle, versiones: 

  • 4.5 hasta 4.5.3; 4.4 hasta 4.4.7, 4.3 hasta 4.3.11, 4.1 hasta 4.1.17 y versiones anteriores sin mantenimiento (CVE-2025-3643, CVE-2025-3642 y CVE-2025-3641).
  • 4.5 hasta 4.5.3; 4.4 hasta 4.4.7 y 4.3 hasta 4.3.11 (CVE-2025-3625).

Las versiones afectadas de Moodle para las vulnerabilidades cuya severidad no es alta ni crítica, pueden consultarse en el aviso de seguridad de las referencias.

Descripción

Varios investigadores han reportado 15 vulnerabilidades: 2 de severidad crítica, 2 de severidad alta y 11 de severidad media y baja, cuya explotación podría permitir a un atacante llevar a cabo una ejecución remota de código o provocar una condición de denegación de servicio (DoS), entre otros.

Solución

Moodle ha solucionado las vulnerabilidades reportadas en las siguientes versiones:

  • 4.5.4, 4.4.8, 4.3.12 y 4.1.18 (CVE-2025-3643, CVE-2025-3642 y CVE-2025-3641).
  • 4.5.4, 4.4.8 y 4.3.12 (CVE-2025-3625).
Detalle

Las vulnerabilidades de severidad alta y media son:

  • Ejecución remota de código en el repositorio EQUELLA de Moodle LMS. En sitios con el repositorio EQUELLA habilitado, por defecto, solo estaría disponible para profesores y administradores. Se ha asignado el identificador CVE-2025-3642 para esta vulnerabilidad.
  • Ejecución remota de código en el repositorio Dropbox de Moodle LMS. En sitios con el repositorio Dropbox habilitado, por defecto, sólo estaría disponible para profesores y gestores. Se ha asignado el identificador CVE-2025-3641 para esta vulnerabilidad.
  • La URL de retorno de la herramienta de políticas requeriría una depuración adicional para evitar un riesgo de Cross-Site Scripting (XSS) reflejado. Se ha asignado el identificador CVE-2025-3643 para esta vulnerabilidad.
  • Una comprobación omitida en la acción de revocación/cancelación del factor de correo electrónico de la autenticación multifactor podía provocar un riesgo de denegación de servicio para los usuarios que iniciaban sesión y tenían el correo electrónico como único segundo factor disponible. Si se explotaba, se revelaba el nombre del usuario afectado. Se ha asignado el identificador CVE-2025-3625 para esta vulnerabilidad.

El detalle de las vulnerabilidades de severidades medias y bajas puede consultarse en las referencias.

Listado de referencias
Moodle, Security announcements
Etiquetas