Fecha de publicaciĂłn: 18/07/2022
Importancia:
CrĂtica
Recursos afectados:
Versiones:
- de la 4.0 a la 4.0.1;
- de la 3.11 a la 3.11.7;
- de la 3.9 a la 3.9.14;
- versiones anteriores no soportadas.
DescripciĂłn:
Diversas investigaciones han reportado 6 vulnerabilidades en Moodle, 3 de severidad crĂtica y 3 bajas, por las que un atacante podrĂa realizar ejecuciĂłn remota de cĂłdigo, lectura arbitraria de archivos, XSS, SSRF y redirecciĂłn abierta.
SoluciĂłn:
Actualizar a las versiones 4.0.2, 3.11.8 y 3.9.15, respectivamente.
Detalle:
Las vulnerabilidades crĂticas se describen a continuaciĂłn:
- Un parĂĄmetro de ejecuciĂłn omitido podrĂa provocar una ejecuciĂłn remota de cĂłdigo en los sitios que ejecutaban versiones de GhostScript anteriores a la 9.50. Se ha asignado el identificador CVE-2022-35649 para esta vulnerabilidad.
- Una comprobaciĂłn insuficiente de la ruta en la importaciĂłn de una pregunta de lecciĂłn provocaba un riesgo de lectura arbitraria de archivos. La capacidad de acceder a esta funciĂłn solo estĂĄ disponible por defecto para los profesores, gestores y administradores. Se ha asignado el identificador CVE-2022-35650 para esta vulnerabilidad.
- Una sanitizaciĂłn insuficiente de los detalles de la pista SCORM podrĂa provocar la explotaciĂłn de vulnerabilidades XSS y SSRF. Se ha asignado el identificador CVE-2022-35651 para esta vulnerabilidad.
Para el resto de vulnerabilidades no crĂticas se han asignado los identificadores CVE-2022-35652 y CVE-2022-35653.
Etiquetas:
ActualizaciĂłn, CMS, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.