Moodle corrige múltiples vulnerabilidades, ¡actualiza!

Fecha de publicación 20/09/2022

Importancia

4 - Alta

Recursos Afectados

Versiones de Moodle:

desde la versión 4.0 hasta la versión 4.0.3;
desde la versión 3.11 hasta la versión 3.11.9;
desde la versión 3.9 hasta la versión 3.9.16;
todas las versiones anteriores sin soporte.

Descripción

La plataforma de formación Moodle ha publicado actualizaciones de seguridad que corrigen varias vulnerabilidades.

Solución

Actualizar a las siguientes versiones de Moodle:

Importante: antes de actualizar en entornos de producción es recomendable realizar pruebas previas en entornos de preproducción y comprobar que todo funciona correctamente tras la actualización.

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue esta checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en casos reales:

Detalle

El detalle de las vulnerabilidades es el siguiente:

El renderizado recursivo de los template helpers de Mustache que contienen la entrada del usuario podría, en algunos casos, provocar un XSS almacenado o que una página no se cargue.
Se identificó un riesgo de ejecución remota de código al restaurar archivos de copia de seguridad procedentes de Moodle 1.9.

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).

Listado de referencias

MSA-22-0023: Stored XSS and page denial of service risks due to recursive rendering in Mustache template helpers

MSA-22-0024: Remote code execution risk when restoring malformed backup file from Moodle 1.9

MSA-22-0025: Minor SQL injection risk in admin user browsing

MSA-22-0026: No groups filtering in H5P activity attempts report

Etiquetas