Múltiples vulnerabilidades encontradas en Moodle
Moodle es una plataforma LMS Learning Management System (Sistema de Gestión de Aprendizaje), diseñado para crear y gestionar módulos de aprendizaje online adaptados a los requerimientos de profesores, alumnos y administradores.
Un equipo de seguridad ha detectado 7 vulnerabilidades, 2 de severidad crítica y 5 de severidad baja. El atacante podría realizar ataques de tipo XSS almacenado o SSRF ciego.
| CVE | Nivel | Versiones Afectadas | Descripción |
| CVE-2021-20279 | Critico |
|
La validación insuficiente en el campo de para introducir el ID de usuario podría permitir a un usuario con malas intenciones realizar un ataque de XSS almacenado. |
| CVE-2021-20280 | Critico |
|
Un filtrado insuficiente en las respuestas de feedback podría permitir a un usuario con malas intenciones realizar un ataque de tipo XSS almacenado o SSRF ciego. |
| CVE-2021-20281 | Bajo |
|
Permite a un usuario mal intencionado sin privilegios listar los nombres completos de los usuarios a través del online users block. |
| CVE-2021-20282 | Bajo |
|
Un usuario mal intencionado puede hacerse con el control de la cuenta de la víctima. |
| CVE‑2021‑20283 | Bajo |
|
Esta vulnerabilidad afecta al servicio web responsable de obtener los cursos inscritos por un usuario y no verifica el acceso al perfil de cada curso. |
| CVE‑2021‑20284 | Bajo |
|
Esta vulnerabilidad afecta a la version JQuery que utilizada por Moodle. Debe actualizarse a 3.5.1. |
La explotación exitosa de las vulnerabilidades críticas pueden derivar en el control de las cuentas de usuarios de la plataforma e inyección de código malicioso en la misma, afectando a todos los visitantes.
Solución
Actualizar a la última versión:
| Versión Afectada | Actualizar a |
| 3.10 – 3.10.1 | 3.10.2 |
| 3.9 – 3.9.4 | 3.9.5 |
| 3.8 – 3.8.7 | 3.8.8 |
| 3.5 – 3.5.16 | 3.5.17 |
Referencias