Moodle
ha
publicado dos alertas de seguridad en las que se corrigen otras tantas
vulnerabilidades, que podrían permitir realizar ataques de cross-site scripting o acceder
a cursos ocultos para el usuario.
Se ven afectadas las ramas 3.0, 2.9, 2.8 y 2.7.
Moodle es una popular plataforma
educativa de código abierto que permite a los educadores crear y gestionar
tanto usuarios como cursos de modalidad e-learning. Además proporciona
herramientas para la comunicación entre formadores y alumnos.
El anuncio de seguridad MSA-16-0001,
con gravedad menor y CVE-2016-0724, reside en que los servicios web "core_enrol_get_course_enrolment_methods"
y "enrol_self_get_instance_info"
no comprueban los permisos de usuario para acceder a cursos ocultos.
Por otra parte, el boletín MSA-16-0002
se refiere a una vulnerabilidad de cross-site scripting, considerada como seria
y con CVE-2016-0725, en la cadena de búsqueda en la interfaz de administración
de cursos.
Las versiones 3.0.2, 2.9.4,
2.8.10 y 2.7.12 solucionan ambas vulnerabilidades. Se encuentran disponibles
para su descarga desde la página oficial de Moodle.
Más información:
Security Announcements
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario