Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades en Moodle
  • Neutralización inadecuada de elementos especiales en PostgreSQL

Múltiples vulnerabilidades en Moodle

Fecha18/02/2025
Importancia5 - Crítica
Recursos Afectados

Versiones anteriores no compatibles y, además:

  • Versiones 4.5 a 4.5.1,
  • Versiones 4.4 a 4.4.5,
  • Versiones 4.3 a 4.3.9,
  • Versiones 4.1 a 4.1.15.
Descripción

Moodle ha publicado correcciones para 10 vulnerabilidades, 4 de ellas críticas. Su explotación podría permitir inyección SQL; Cross-Site Spriting reflejado y almacenado; y lectura arbitraria de archivos, entre otros.

Dichas vulnerabilidades fueron reportadas por los investigadores: Lars Bonczek, Hect0r, nightbloodz y vicevirus.

Solución

Actualizar a las versiones: 4.5.2, 4.4.6, 4.3.10 y 4.1.16.

Detalle

Las vulnerabilidades críticas se describen como:

  • CVE-2025-26533: riesgo de inyección SQL en el filtro de la lista de módulos dentro de la búsqueda de cursos.
  • CVE-2025-26530: el filtro del banco de preguntas requirió una desinfección adicional para evitar un riesgo de XSS reflejado.
  • CVE-2025-26529: la información de descripción que se muestra en el registro de la administración del sitio requiere una limpieza adicional para evitar un riesgo de XSS almacenado.
  • CVE-2025-26525: una limpieza insuficiente del filtro de notación TeX podría provocar un riesgo de lectura arbitraria de archivos en sitios donde pdfTeX está disponible.

El resto de vulnerabilidades se pueden consultar en las referencias

Neutralización inadecuada de elementos especiales en PostgreSQL

Fecha18/02/2025
Importancia4 - Alta
Recursos Afectados

Las siguientes versiones de PostgreSQL están afectadas:

  • 13;
  • 14;
  • 15;
  • 16;
  • 17.
Descripción

Stephen Fewer ha reportado a PostgreSQL una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante llevar a cabo una inyección SQL en ciertos patrones de uso.

Se han identificado varias pruebas de concepto (IoC) y la vulnerabilidad podría estar siendo explotada.

Solución

PostgreSQL ha solucionado la vulnerabilidad en las siguientes versiones:

  • 17.3.
  • 16.7.
  • 15.11.
  • 14.16.
  • 13.19.
Detalle

La vulnerabilidad identificada no neutraliza la sintaxis de texto entrecomillado, citas, en libpq en las funciones PQescapeLiteral(), PQescapeIdentifier(), PQescapeString() y PQescapeStringConn(). Esto podría permitir que una entrada en la base de datos logre una inyección SQL en ciertos patrones de uso.

Se ha asignado el identificador CVE-2025-1094 para esta vulnerabilidad.