Inicio / Protege tu empresa / Avisos Seguridad / Moodle corrige múltiples vulnerabilidades, ¡actualiza!

Moodle corrige múltiples vulnerabilidades, ¡actualiza!


Fecha de publicación: 
18/07/2022
Importancia: 
5 - Crítica
Recursos afectados: 

Versiones de Moodle:

  • desde la versión 4.0, hasta la versión 4.0.1;
  • desde la versión 3.11, hasta la versión 3.11.7;
  • desde la versión 3.9, hasta la versión 3.9.14; 
  • y todas las versiones anteriores sin soporte.
Descripción: 

La plataforma de formación Moodle ha publicado actualizaciones de seguridad que corrigen varias vulnerabilidades.

Solución: 

Actualizar a las siguientes versiones de Moodle:

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue esta checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en casos reales:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.

Detalle: 

Logo_moodle

El detalle de las vulnerabilidades es el siguiente:

  • Un parámetro de ejecución omitido provoca un riesgo de ejecución remota de código en los sitios que ejecutan versiones de GhostScript anteriores a la 9.50.
  • Una comprobación insuficiente de la ruta al consultar una pregunta de lección provoca un riesgo de lectura arbitraria de archivos. La capacidad de acceder a esta función sólo está disponible por defecto para los profesores, gestores y administradores.
  • Un saneamiento insuficiente de los detalles de la pista SCORM presenta riesgos de Cross-site scripting (XSS) almacenados y Server Side Request Forgery (SSRF) ciegos.
  • La URL de inicio de sesión automático en el móvil requería una desinfección adicional para evitar el riesgo de redireccionamiento abierto.
  • Se identificó un riesgo menor de XSS reflejado en el módulo que no afecta a los usuarios autentificados. Si estás utilizando Moodle Analytics, es necesario actualizar el mlbackend. Consulta la documentación sobre la configuración de Analytics para obtener más información sobre las versiones necesarias y cómo actualizarlas.
  • Se ha actualizado el backend de aprendizaje automático de Moodle y su referencia en /lib/mlbackend/python/classes/processor.php, que incluye algunas actualizaciones de seguridad.

Tu soporte técnico puede consultar una solución más detallada en el área de avisos de INCIBE-CERT.

Línea de ayuda en ciberseguridad 017