MĂșltiples vulnerabilidades en Moodle

Fecha de publicaciĂłn: 20/07/2021

Importancia:
CrĂ­tica

Recursos afectados:

Las versiones de Moodle que se ven afectadas son las siguientes:

  • 3.11,
  • de la 3.10 a la 3.10.4,
  • de la 3.9 a la 3.9.7,
  • versiones anteriores no soportadas

DescripciĂłn:
Se han publicado 6 vulnerabilidades de severidad crĂ­tica que podrĂ­an permitir a un atacante eliminar mensajes de usuarios, establecer una condiciĂłn de denegaciĂłn de servicio (DoS), ejecutar cĂłdigo de forma remota, realizar ataques de inyecciĂłn SQL o de tipo SSRF ciego.

SoluciĂłn:

Actualizar a las versiones:

  • 3.11.1,
  • 3.10.5,
  • 3.9.8.

Detalle:

  • Una vulnerabilidad de comprobaciĂłn de capacidad insuficiente podrĂ­a permitir que la eliminaciĂłn de mensajes no estĂ© limitada al usuario actual. Se ha asignado el identificador CVE-2021-36397 para esta vulnerabilidad.
  • Un incorrecto manejo de redireccionamiento podrĂ­a permitir a un atacante eludir las restricciones de hosts cURL bloqueados / puertos permitidos, haciendo posible ataques de tipo SSRF ciego. Se ha asignado el identificador CVE-2021-36396 para esta vulnerabilidad.
  • Un cURL recursivo en el repositorio de archivos podrĂ­a permitir a un atacante establecer una condiciĂłn de denegaciĂłn de servicio. Se ha asignado el identificador CVE-2021-36395 para esta vulnerabilidad.
  • Una vulnerabilidad en el mĂ©todo de autenticaciĂłn de Shibboleth podrĂ­a permitir a un atacante ejecutar cĂłdigo de forma remota. Se ha asignado el identificador CVE-2021-36394 para esta vulnerabilidad.
  • Una vulnerabilidad en las bibliotecas dedicadas a la bĂșsqueda de los cursos recientes o en los que se encuentra inscrito un usuario, podrĂ­a permitir a un atacante realizar un ataque de inyecciĂłn SQL. Se han asignado los identificadores CVE-2021-36393 y CVE-2021-36392 para esta vulnerabilidad.

Etiquetas:
ActualizaciĂłn, CMS, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.