Moodle ha publicado cuatro alertas de seguridad en las que se corrigen otras
tantas vulnerabilidades que podrían permitir el acceso a información sensible, construir ataques de cross-site
scripting o la ejecución de código remoto.
Moodle es una popular plataforma
educativa de código abierto que permite a los educadores crear y gestionar
tanto usuarios como cursos de modalidad e-learning. Además proporciona
herramientas para la comunicación entre formadores y alumnos.
Se han publicado cuatro boletines
de seguridad (MSA-17-0004 y MSA-17-0006 al MSA-17-0009), dos de ellos
considerados como de gravedad seria y los otros dos como de importancia menor.
El problema que puede ser considerado
de mayor gravedad reside en una inyección SQL
a través de las preferencias de usuario en Moodle 3.2. El problema podría
permitir la ejecución de código arbitrario en Moodle 3.2.1. Afecta a todas las
versiones Moodle, aunque en versiones anteriores a la 3.2 solo puede explotarse
por administradores a través de servicios web.
También de gravedad alta un cross-site scripting
(CVE-2017-2645) en archivos adjuntados como evidencia de aprendizajes
anteriores. Afecta a versiones 3.2 a 3.2.1 y 3.1 a 3.1.4.
De gravedad menor, una búsqueda global
puede permitir a usuarios invitados obtener los nombres de todos los usuarios (CVE-2017-2643).
Afecta a versiones 3.2 a 3.2.1. Por último, usuarios registrados pueden presentar
una evidencia de aprendizaje previo que incluya un cross-site scripting que se
ejecutará por otro usuario que intente editar la misma evidencia (CVE-2017-2644).
Las versiones 3.2.2, 3.1.5, 3.0.9
y 2.7.19 solucionan todas las vulnerabilidades. Se encuentran disponibles para
su descarga desde la página oficial de Moodle.
Más información:
Security Announcements
MSA-17-0005: SQL injection via user preferences
MSA-17-0007: Global search displays user names
for unauthenticated users
MSA-17-0008: XSS in evidence of prior learning
MSA-17-0009: XSS in attachments to evidence of
prior learning
Antonio Ropero
Twitter: @aropero
Moodle creo que no tiene actualización automática como worpdress por ejemplo no ? eso facilitaría las cosas ya que es un programa muy usado para sistemas educativos.
ResponderEliminarreforma integral en valencia