Múltiples vulnerabilidades en Moodle
Recursos Afectados
Las siguientes versiones de Moodle se ven afectadas:
- 4.3;
- desde 4.2 hasta 4.2.3;
- desde 4.1 hasta 4.1.6;
- desde 4.0 hasta 4.0.11;
- desde 3.11 hasta 3.11.17;
- desde 3.9 hasta 3.9.24;
- versiones anteriores sin soporte.
Descripción
Varios investigadores han reportado 4 vulnerabilidades de severidad crítica y varias bajas que se pueden consultar en la web de avisos de Moodle.
5 – Crítica
Solución
Actualizar a las versiones 4.3.1, 4.2.4, 4.1.7, 4.0.12, 3.11.18 y 3.9.25.
Detalle
Las vulnerabilidades de severidad crítica se describen a continuación:
- Se ha identificado un riesgo de ejecución remota de código (RCE) en logstore. Por defecto, sólo está disponible para los administradores. Se ha asignado el identificador CVE-2023-6661 para esta vulnerabilidad.
- Unas limitaciones de recursividad insuficientes podrían provocar una condición de denegación de servicio (DoS) en el descargador de URL. Se ha asignado el identificador CVE-2023-6662 para esta vulnerabilidad.
- Los bloques de curso con vulnerables a una ejecución remota de código. Por defecto, sólo está disponible para profesores y gestores. Se ha asignado el identificador CVE-2023-6663 para esta vulnerabilidad.
- El parámetro classname de la página de tareas ad-hoc del administrador requiere una sanitización adicional para evitar una vulnerabilidad de Cross-Site Scripting (XSS) reflejado. Se ha asignado el identificador CVE-2023-6670 para esta vulnerabilidad.
Listado de referencias
Etiquetas
Ir a la fuente
Author:
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.