Múltiples vulnerabilidades en Moodle

Fecha de publicación: 18/07/2022

Importancia:
Crítica

Recursos afectados:

Versiones:

  • de la 4.0 a la 4.0.1;
  • de la 3.11 a la 3.11.7;
  • de la 3.9 a la 3.9.14;
  • versiones anteriores no soportadas.

Descripción:

Diversas investigaciones han reportado 6 vulnerabilidades en Moodle, 3 de severidad crítica y 3 bajas, por las que un atacante podría realizar ejecución remota de código, lectura arbitraria de archivos, XSS, SSRF y redirección abierta.

Solución:

Actualizar a las versiones 4.0.2, 3.11.8 y 3.9.15, respectivamente.

Detalle:

Las vulnerabilidades críticas se describen a continuación:

  • Un parámetro de ejecución omitido podría provocar una ejecución remota de código en los sitios que ejecutaban versiones de GhostScript anteriores a la 9.50. Se ha asignado el identificador CVE-2022-35649 para esta vulnerabilidad.
  • Una comprobación insuficiente de la ruta en la importación de una pregunta de lección provocaba un riesgo de lectura arbitraria de archivos. La capacidad de acceder a esta función solo está disponible por defecto para los profesores, gestores y administradores. Se ha asignado el identificador CVE-2022-35650 para esta vulnerabilidad.
  • Una sanitización insuficiente de los detalles de la pista SCORM podría provocar la explotación de vulnerabilidades XSS y SSRF. Se ha asignado el identificador CVE-2022-35651 para esta vulnerabilidad.

Para el resto de vulnerabilidades no críticas se han asignado los identificadores CVE-2022-35652 y CVE-2022-35653.

Encuesta valoración

Etiquetas:
Actualización, CMS, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.