Facebook Instagram Linkedin
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Múltiples vulnerabilidades en plugins de Moodle de Innovación y Cualificación

In Noticias y Avisos CiberseguridadPosted

Múltiples vulnerabilidades en plugins de Moodle de Innovación y Cualificación
Mar, 11/03/2025 – 10:49

Aviso

Recursos Afectados

Los siguientes plugins de Moodle están afectados:

  • plugin IcProgreso;
  • plugin local administración ajax.php.

Descripción

INCIBE ha coordinado la publicación de 4 vulnerabilidades: 2 de severidad crítica y 2 de severidad media, que afectan a los plugins de Moodle administración e IcProgreso de Innovación y Cualificación. Las vulnerabilidades han sido descubiertas por Julen Garrido Estevez.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-2199 y CVE-2025-2200: CVSS v4.0: 9.3 | CVSS /AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
  • CVE-2025-2201 y CVE-2025-2202: CVSS v4.0: 7.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-863

Identificador
INCIBE-2025-0131

5 – Crítica

Solución

Innovación y Cualificación ha lanzado una nueva versión que corrige las vulnerabilidades detectadas en los plugins afectados. Se ha procedido a la implantación de la misma en todas las instalaciones del software afectado, completándose el proceso en diciembre del 2024.

Detalle

  • CVE-2025-2199: vulnerabilidad de inyección SQL en el plugin local de administración ajax.php de Innovación y Cualificación. Esta vulnerabilidad permite a un atacante obtener, actualizar y borrar datos de la base de datos mediante la inyección de una consulta SQL en “buscarAccionesParaActualizar”, “buscarEspecialidadesPendientes”, “buscarEspecialidadesVinculadas”, “buscarUsuariosParaActualizarPerfil”, “datos_accion_formativa”, “mostrarCursosFormacionContinua” y “mostrarUsuariosParaEdicion” en /local/administracion/ajax.php.
  • CVE-2025-2200: vulnerabilidad de inyección SQL en el plugin IcProgreso de Innovación y Cualificación. Esta vulnerabilidad permite a un atacante obtener, actualizar y borrar datos de la base de datos mediante la inyección de una consulta SQL en los parámetros user, id, idGrupo, fecha_inicio y fecha_fin en el endpoint /report/icprogreso/generar_bloques.php.
  • CVE-2025-2201: vulnerabilidad de control de acceso defectuoso en el plugin IcProgreso de Innovación y Cualificación. Esta vulnerabilidad permite a un atacante obtener información sensible sobre otros usuarios como direcciones IP públicas, mensajes con otros usuarios y más.
  • CVE-2025-2202: vulnerabilidad de control de acceso defectuoso en el plugin local de administración ajax.php de Innovación y Cualificación. Esta vulnerabilidad permite a un atacante obtener información sensible sobre otros usuarios como id, nombre, login y email.

Listado de referencias

Innovación y Cualificación : web del fabricante

Etiquetas

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.