MĂșltiples vulnerabilidades en Moodle
Recursos Afectados
Las siguientes versiones de Moodle se ven afectadas:
- 4.3;
- desde 4.2 hasta 4.2.3;
- desde 4.1 hasta 4.1.6;
- desde 4.0 hasta 4.0.11;
- desde 3.11 hasta 3.11.17;
- desde 3.9 hasta 3.9.24;
- versiones anteriores sin soporte.
DescripciĂłn
Varios investigadores han reportado 4 vulnerabilidades de severidad crĂtica y varias bajas que se pueden consultar en la web de avisos de Moodle.
5 – CrĂtica
SoluciĂłn
Actualizar a las versiones 4.3.1, 4.2.4, 4.1.7, 4.0.12, 3.11.18 y 3.9.25.
Detalle
Las vulnerabilidades de severidad crĂtica se describen a continuaciĂłn:
- Se ha identificado un riesgo de ejecuciĂłn remota de cĂłdigo (RCE) en logstore. Por defecto, sĂłlo estĂĄ disponible para los administradores. Se ha asignado el identificador CVE-2023-6661 para esta vulnerabilidad.
- Unas limitaciones de recursividad insuficientes podrĂan provocar una condiciĂłn de denegaciĂłn de servicio (DoS) en el descargador de URL. Se ha asignado el identificador CVE-2023-6662 para esta vulnerabilidad.
- Los bloques de curso con vulnerables a una ejecuciĂłn remota de cĂłdigo. Por defecto, sĂłlo estĂĄ disponible para profesores y gestores. Se ha asignado el identificador CVE-2023-6663 para esta vulnerabilidad.
- El parĂĄmetro classname de la pĂĄgina de tareas ad-hoc del administrador requiere una sanitizaciĂłn adicional para evitar una vulnerabilidad de Cross-Site Scripting (XSS) reflejado. Se ha asignado el identificador CVE-2023-6670 para esta vulnerabilidad.
Listado de referencias
Etiquetas
Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.