El Centro de Gestión de Incidentes Informáticos comunica que la plataforma de aprendizaje Moodle ha publicado actualizaciones de seguridad para 8 vulnerabilidades, 5 de severidad alta y 3 de severidad baja, por lo que se recomienda actualizar cuanto antes.
Descripción:
Moodle ha informado la corrección de 8 vulnerabilidades, 5 de severidad alta y 3 de severidad baja, que podrían permitir a un atacante exportar las publicaciones de todos los cursos, realizar inyecciones SQL, ataques XSS, provocar una condición de denegación de servicio y acceso a información restringida a administradores.
Recursos afectados:
Las versiones de Moodle que se ven afectadas son las siguientes:
- de la 3.10 a la 3.10.3;
- de la 3.9 a la 3.9.6;
- de la 3.8 a la 3.8.8;
- de la 3.5 a la 3.5.17;
- y todas las versiones anteriores sin soporte.
Solución:
Actualizar a las últimas versiones según corresponda:
- Moodle 3.11;
- Moodle 3.10.4;
- Moodle 3.9.7;
- Moodle 3.8.9;
- Moodle 3.5.18.
Recomendaciones:
Antes de actualizar en entornos de producción, es recomendable realizar pruebas de previas en entornos de pre producción y comprobar que todo funciona correctamente tras la actualización.
Es importante que revise las notas de la versión a actualizar, que incluye requerimientos previos a la actualización.
Identificadores CVE:
- CVE-2021-32472; Los profesores que exportan un foro en formato CSV podrían recibir un CSV con los foros de todos los cursos en algunas circunstancias.
- CVE-2021-32473; Un estudiante podía ver la nota de su cuestionario antes de que se hubiera publicado, utilizando un servicio web de cuestionarios.
- CVE-2021-32474; Inyección SQL en los sitios con MNet habilitado y configurado, a través de una llamada XML-RPC desde el host par conectado, siempre y cuando se tuviese acceso del administrador del sitio o acceso al par de claves.
- CVE-2021-32476; Denegación de servicio (DoS) en el área de archivos de borrador, debido a que no respeta los límites de carga de archivos de los usuarios.
- La biblioteca H5P PHP incluida en Moodle ha sido actualizada a la última versión minor, que incluye una corrección de seguridad.
- CVE-2021-32478; El URI de redirección en el endpoint de autorización de LTI no validaba correctamente el dato de entrada, exponiendo a ataques de Cross Site Scripting (XSS) reflejado y redirección abierta.
- CVE-2021-32477; La última vez que un usuario accedió a la aplicación móvil se muestra en su página de perfil, el cuál debería estar restringida a usuarios administradores del sitio por defecto.
- CVE-2021-32475; XSS almacenado en el informe de calificación del examen a través del número de identificación del usuario.
Referencias:
MSA-21-0012: Forum CSV export could result in posts from all courses being exported
MSA-21-0013: Quiz unreleased grade disclosure via web service
MSA-21-0014: Blind SQL injection possible via MNet authentication
MSA-21-0015: Stored XSS in quiz grading report via user ID number
MSA-21-0016: Files API should mitigate denial-of-service risk when adding to the draft file area
MSA-21-0017: Last app access time is visible to non-site-admins on user profile page
MSA-21-0018: Reflected XSS and open redirect in LTI authorization endpoint
MSA-21-0019: Upgrade H5P PHP library to latest minor version (upstream)