lunes, 3 de abril de 2017

Corregidas cuatro vulnerabilidades en Moodle

Moodle ha publicado cuatro alertas de seguridad en las que se corrigen otras tantas vulnerabilidades que podrían permitir el acceso a información sensible, construir ataques de cross-site scripting o la ejecución de código remoto.

Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

Se han publicado cuatro boletines de seguridad (MSA-17-0004 y MSA-17-0006 al MSA-17-0009), dos de ellos considerados como de gravedad seria y los otros dos como de importancia menor.

El problema que puede ser considerado de mayor gravedad reside en una inyección SQL a través de las preferencias de usuario en Moodle 3.2. El problema podría permitir la ejecución de código arbitrario en Moodle 3.2.1. Afecta a todas las versiones Moodle, aunque en versiones anteriores a la 3.2 solo puede explotarse por administradores a través de servicios web.

También de gravedad alta un cross-site scripting (CVE-2017-2645) en archivos adjuntados como evidencia de aprendizajes anteriores. Afecta a versiones 3.2 a 3.2.1 y 3.1 a 3.1.4.

De gravedad menor, una búsqueda global puede permitir a usuarios invitados obtener los nombres de todos los usuarios (CVE-2017-2643). Afecta a versiones 3.2 a 3.2.1. Por último, usuarios registrados pueden presentar una evidencia de aprendizaje previo que incluya un cross-site scripting que se ejecutará por otro usuario que intente editar la misma evidencia (CVE-2017-2644).

Las versiones 3.2.2, 3.1.5, 3.0.9 y 2.7.19 solucionan todas las vulnerabilidades. Se encuentran disponibles para su descarga desde la página oficial de Moodle.
http://download.moodle.org/

Más información:

Security Announcements
https://moodle.org/security/

MSA-17-0005: SQL injection via user preferences
https://moodle.org/mod/forum/discuss.php?d=349419

MSA-17-0007: Global search displays user names for unauthenticated users
https://moodle.org/mod/forum/discuss.php?d=349420

MSA-17-0008: XSS in evidence of prior learning
https://moodle.org/mod/forum/discuss.php?d=349421

MSA-17-0009: XSS in attachments to evidence of prior learning
https://moodle.org/mod/forum/discuss.php?d=349422



Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Etiquetas:

1 comentario:

  1. Juan Carlos6 de abril de 2017, 11:43

    Moodle creo que no tiene actualización automática como worpdress por ejemplo no ? eso facilitaría las cosas ya que es un programa muy usado para sistemas educativos.

    reforma integral en valencia

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017