Fecha de publicación: 21/03/2023
Importancia:
Alta
Recursos afectados:
Versiones:
- desde 4.1 hasta 4.1.1;
- desde 4.0 hasta 4.0.6;
- desde 3.11 hasta 3.11.12;
- desde 3.9 hasta 3.9.19;
- versiones anteriores sin soporte.
Descripción:
Los investigadores Vincent Schneider (cli-ish) y Petr Skoda han reportado 3 vulnerabilidades de severidad alta que afectan a Moodle.
Solución:
Actualizar a las versiones 4.1.2, 4.0.7, 3.11.13 y 3.9.20, respectivamente.
Detalle:
- Una validación insuficiente de la condición de disponibilidad del campo de perfil podría provocar una inyección SQL (por defecto, solo disponible para los roles de profesores y gestores). Se ha asignado el identificador CVE-2023-28329 para esta vulnerabilidad.
- Una copia de seguridad no sanitizada correctamente podría provocar una lectura arbitraria de archivos. La capacidad de acceder a esta función solo está disponible para profesores, gestores y administradores de forma predeterminada. Se ha asignado el identificador CVE-2023-28330 para esta vulnerabilidad.
- El contenido generado por el filtro de enlace automático a la base de datos requería una sanitización adicional para evitar un XSS (Cross-Site Scripting). Se ha asignado el identificador CVE-2023-28331 para esta vulnerabilidad.
Etiquetas:
Actualización, CMS, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.