Moodle
ha publicado ocho alertas de seguridad en las que se corrigen otras tantas vulnerabilidades
con diversos efectos, desde denegaciones de servicio hasta los habituales cross-site
scripting y cross-site request forgery. Se ven afectadas todas las ramas
soportadas 2.8, 2.7, 2.6 y anteriores
versiones ya fuera de soporte.
Moodle es una popular plataforma
educativa de código abierto que permite a los educadores crear y gestionar
tanto usuarios como cursos de modalidad e-learning. Además proporciona
herramientas para la comunicación entre formadores y alumnos.
Se han publicado ocho boletines
de seguridad (del MSA-15-0001 al MSA-14-0008), y tienen asignados los identificadores
comprendidos del CVE-2015-0211 al CVE-2015-0218. Cuatro de ellos son considerados
como serios y el resto como de gravedad menor. Las vulnerabilidades podrían permitir
ataques Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), denegaciones
de servicio, forzar la desconexión o revelar información.
Las versiones 2.8.2, 2.7.4 y 2.6.7
solucionan todas las vulnerabilidades. Se encuentran disponibles para su
descarga desde la página oficial de Moodle.
Más información:
Moodle downloads
MSA-15-0001: Insufficient access check in LTI
module
MSA-15-0002: XSS vulnerability in course request
pending approval page
MSA-15-0003: CSRF possible in Glossary module
MSA-15-0004: Information leak through messaging
functions in web-services
MSA-15-0005: Insufficient access check in
calendar functions in web-services
MSA-15-0006: Capability to grade Lesson module
is missing XSS bitmask
MSA-15-0007: ReDoS possible in the multimedia
filter
MSA-15-0008: Forced logout through Shibboleth
authentication plugin
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario