Vulnerabilidad en el código PostScript en Moodle (CVE-2022-35649)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
25/07/2022
Última modificación:
07/11/2023
Descripción
La vulnerabilidad fue encontrada en Moodle, ocurre debido a una comprobación de entrada inapropiada cuando se analiza el código PostScript. Un parámetro de ejecución omitido resulta en un riesgo de ejecución de código remota para los sitios que ejecutan versiones de GhostScript anteriores a 9.50. Una explotación con éxito de esta vulnerabilidad puede resultar en el compromiso completo del sistema vulnerable
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:moodle:moodle:*:*:*:*:*:*:*:* | 3.9.0 (incluyendo) | 3.9.15 (excluyendo) |
| cpe:2.3:a:moodle:moodle:*:*:*:*:*:*:*:* | 3.11.0 (incluyendo) | 3.11.8 (excluyendo) |
| cpe:2.3:a:moodle:moodle:*:*:*:*:*:*:*:* | 4.0.0 (incluyendo) | 4.0.2 (excluyendo) |
| cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:36:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-75044
- https://bugzilla.redhat.com/show_bug.cgi?id=2106273
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/6MOKYVRNFNAODP2XSMGJ5CRDUZCZKAR3/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/MTKUSFPSYFINSQFSOHDQIDVE6FWBEU6V/
- https://moodle.org/mod/forum/discuss.php?d=436456