Moodle
ha publicado una alerta de seguridad para solucionar una vulnerabilidad de
escalada de directorios que podría permitir a un atacante obtener información
sensible del sistema. Se ven afectadas todas las ramas soportadas 2.8, 2.7, 2.6
y versiones anteriores ya fuera de soporte.
Moodle es una popular plataforma
educativa de código abierto que permite a los educadores crear y gestionar
tanto usuarios como cursos de modalidad e-learning. Además proporciona
herramientas para la comunicación entre formadores y alumnos.
Se ha publicado el boletín de
seguridad MSA-14-0009, con identificador CVE-2015-1493, considerado como serio.
El problema reside en que el parámetro "file" no limpia adecuadamente las entradas del usuario, lo que
podría permitir introducir peticiones cadenas clásicas de escalada de
directorios ('../'). De esta forma el
atacante podría tener acceso a archivos arbitrarios del sistema situados fuera del
directorio de Moodle. Se ven afectados todos los sistemas operativos, pero los
sistemas Windows son especialmente vulnerables.
Las versiones 2.8.3, 2.7.5 y 2.6.8
solucionan esta vulnerabilidad. Se encuentran disponibles para su descarga
desde la página oficial de Moodle.
Más información:
MSA-15-0009: Directory Traversal Attack
possible through some files serving JS
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario