Fecha de publicación: 18/07/2022
Importancia:
Crítica
Recursos afectados:
Versiones de Moodle:
- desde la versión 4.0, hasta la versión 4.0.1;
- desde la versión 3.11, hasta la versión 3.11.7;
- desde la versión 3.9, hasta la versión 3.9.14;
- y todas las versiones anteriores sin soporte.
Descripción:
La plataforma de formación Moodle ha publicado actualizaciones de seguridad que corrigen varias vulnerabilidades.
Solución:
Actualizar a las siguientes versiones de Moodle:
Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue esta checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en casos reales:
- ¿Humano o bot? Protege tu web con sistemas captcha
- Celebra el Día Mundial de las Contraseñas, la puerta de entrada a todos tus servicios
- Qué es una DMZ y cómo te puede ayudar a proteger tu empresa
- Historias reales: web segura cumpliendo la ley
- 5 razones para hacer copias de seguridad de tu web
¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.
Detalle:
El detalle de las vulnerabilidades es el siguiente:
- Un parámetro de ejecución omitido provoca un riesgo de ejecución remota de código en los sitios que ejecutan versiones de GhostScript anteriores a la 9.50.
- Una comprobación insuficiente de la ruta al consultar una pregunta de lección provoca un riesgo de lectura arbitraria de archivos. La capacidad de acceder a esta función sólo está disponible por defecto para los profesores, gestores y administradores.
- Un saneamiento insuficiente de los detalles de la pista SCORM presenta riesgos de Cross-site scripting (XSS) almacenados y Server Side Request Forgery (SSRF) ciegos.
- La URL de inicio de sesión automático en el móvil requería una desinfección adicional para evitar el riesgo de redireccionamiento abierto.
- Se identificó un riesgo menor de XSS reflejado en el módulo que no afecta a los usuarios autentificados. Si estás utilizando Moodle Analytics, es necesario actualizar el mlbackend. Consulta la documentación sobre la configuración de Analytics para obtener más información sobre las versiones necesarias y cómo actualizarlas.
- Se ha actualizado el backend de aprendizaje automático de Moodle y su referencia en /lib/mlbackend/python/classes/processor.php, que incluye algunas actualizaciones de seguridad.
Tu soporte técnico puede consultar una solución más detallada en el área de avisos de INCIBE-CERT.
Etiquetas:
Actualización, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.