MĂșltiples vulnerabilidades en Moodle

Fecha de publicaciĂłn: 21/03/2022

Importancia:
CrĂ­tica

Recursos afectados:

Versiones:

  • de la 3.11 a la 3.11.5;
  • de la 3.10 a la 3.10.9;
  • de la 3.9 a la 3.9.12;
  • versiones anteriores no soportadas.

DescripciĂłn:

Los investigadores Chris Pratt, Andrew Lyons y Sara Arjona han reportado 5 vulnerabilidades: 1 de severidad crĂ­tica y 4 bajas, por las que un atacante podrĂ­a realizar una inyecciĂłn SQL, borrar cuentas de usuario, configurar las insignias de los cursos con los criterios de los campos del perfil y explotar vulnerabilidades en las librerĂ­as PHPMailer y CKEditor.

SoluciĂłn:

Actualizar a las versiones 3.11.6, 3.10.10 y 3.9.13, respectivamente.

Detalle:

  • Se identificĂł una vulnerabilidad de inyecciĂłn SQL en el cĂłdigo de badges (insignias) relacionado con la configuraciĂłn de criterios. Esta vulnerabilidad solo es accesible para los profesores/gestores/administradores por defecto, ya que requiere la capacidad de añadir y activar los criterios de las insignias. Se ha asignado el identificador CVE-2022-0983 para esta crĂ­tica.

Para 2 de las vulnerabilidades de severidad baja se han asignado los identificadores CVE-2022-0985 y CVE-2022-0984; las otras 2 no tienen CVE asignado.

Encuesta valoraciĂłn

Etiquetas:
ActualizaciĂłn, CMS, Comunicaciones, PHP, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.