sábado, noviembre 23, 2024

pXTECHeXpert

La experiencia es la madre de la sabiduría

SeguridadVulnerabilidades

Múltiples vulnerabilidades encontradas en Moodle

Moodle es una plataforma LMS Learning Management System (Sistema de Gestión de Aprendizaje), diseñado para crear y gestionar módulos de aprendizaje online adaptados a los requerimientos de profesores, alumnos y administradores. 

Un equipo de seguridad ha detectado 7 vulnerabilidades, 2 de severidad crítica y 5 de severidad baja. El atacante podría realizar ataques de tipo XSS almacenado o SSRF ciego.

CVE Nivel Versiones Afectadas Descripción
CVE-2021-20279 Critico
  • 3.10 – 1.10.1
  • 3.9 – 3.9.4
  • 3.8 – 3.8.7
  • 3.5 – 3.5.16
La validación insuficiente en el campo de para introducir el ID de usuario podría permitir a un usuario con malas intenciones realizar un ataque de XSS almacenado.
CVE-2021-20280 Critico
  • 3.10 – 3.10.1
  • 3.9 – 3.9.4
  • 3.8 – 3.8.7
  • 3.5 – 3.5.16
Un filtrado insuficiente en las respuestas de feedback podría permitir a un usuario con malas intenciones realizar un ataque de tipo XSS almacenado o SSRF ciego.
CVE-2021-20281 Bajo
  • 3.10 – 3.10.1
  • 3.9 – 3.9.4
  • 3.8 – 3.8.7
  • 3.5 – 3.5.16
Permite a un usuario mal intencionado sin privilegios listar los nombres completos de los usuarios a través del online users block.
CVE-2021-20282 Bajo
  • 3.10 – 3.10.1
  • 3.9 – 3.9.4
  • 3.8 – 3.8.7
  • 3.5 – 3.5.16
Un usuario mal intencionado puede hacerse con el control de la cuenta de la víctima.
CVE‑2021‑20283 Bajo
  • 3.10 – 3.10.1
  • 3.9 – 3.9.4
  • 3.8 – 3.8.7
  • 3.5 – 3.5.16
Esta vulnerabilidad afecta al servicio web responsable de obtener los cursos inscritos por un usuario y no verifica el acceso al perfil de cada curso.
CVE‑2021‑20284 Bajo
  • 3.10 – 3.10.1
  • 3.9 – 3.9.4
  • 3.8 – 3.8.7
  • 3.5 – 3.5.16
Esta vulnerabilidad afecta a la version JQuery que utilizada por Moodle. Debe actualizarse a 3.5.1.

La explotación exitosa de las vulnerabilidades críticas pueden derivar en el control de las cuentas de usuarios de la plataforma e inyección de código malicioso en la misma, afectando a todos los visitantes.

Solución

Actualizar a la última versión:

Versión Afectada Actualizar a
3.10 – 3.10.1 3.10.2
3.9 – 3.9.4 3.9.5
3.8 – 3.8.7 3.8.8
3.5 – 3.5.16 3.5.17

Referencias

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Abrir chat
Hola ツ si necesitas una ayuda personalizada, estamos a las órdenes. ¿En qué podemos ayudarte?