Facebook Instagram Linkedin
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Múltiples vulnerabilidades en Moodle

In Noticias y Avisos CiberseguridadPosted

Múltiples vulnerabilidades en Moodle

Aviso
Recursos Afectados

Moodle, versiones: 

  • 4.5 hasta 4.5.3; 4.4 hasta 4.4.7, 4.3 hasta 4.3.11, 4.1 hasta 4.1.17 y versiones anteriores sin mantenimiento (CVE-2025-3643, CVE-2025-3642 y CVE-2025-3641).
  • 4.5 hasta 4.5.3; 4.4 hasta 4.4.7 y 4.3 hasta 4.3.11 (CVE-2025-3625).

Las versiones afectadas de Moodle para las vulnerabilidades cuya severidad no es alta ni crítica, pueden consultarse en el aviso de seguridad de las referencias.

Descripción

Varios investigadores han reportado 15 vulnerabilidades: 2 de severidad crítica, 2 de severidad alta y 11 de severidad media y baja, cuya explotación podría permitir a un atacante llevar a cabo una ejecución remota de código o provocar una condición de denegación de servicio (DoS), entre otros.

Identificador
INCIBE-2025-0197

5 – Crítica
Solución

Moodle ha solucionado las vulnerabilidades reportadas en las siguientes versiones:

  • 4.5.4, 4.4.8, 4.3.12 y 4.1.18 (CVE-2025-3643, CVE-2025-3642 y CVE-2025-3641).
  • 4.5.4, 4.4.8 y 4.3.12 (CVE-2025-3625).
Detalle

Las vulnerabilidades de severidad alta y media son:

  • Ejecución remota de código en el repositorio EQUELLA de Moodle LMS. En sitios con el repositorio EQUELLA habilitado, por defecto, solo estaría disponible para profesores y administradores. Se ha asignado el identificador CVE-2025-3642 para esta vulnerabilidad.
  • Ejecución remota de código en el repositorio Dropbox de Moodle LMS. En sitios con el repositorio Dropbox habilitado, por defecto, sólo estaría disponible para profesores y gestores. Se ha asignado el identificador CVE-2025-3641 para esta vulnerabilidad.
  • La URL de retorno de la herramienta de políticas requeriría una depuración adicional para evitar un riesgo de Cross-Site Scripting (XSS) reflejado. Se ha asignado el identificador CVE-2025-3643 para esta vulnerabilidad.
  • Una comprobación omitida en la acción de revocación/cancelación del factor de correo electrónico de la autenticación multifactor podía provocar un riesgo de denegación de servicio para los usuarios que iniciaban sesión y tenían el correo electrónico como único segundo factor disponible. Si se explotaba, se revelaba el nombre del usuario afectado. Se ha asignado el identificador CVE-2025-3625 para esta vulnerabilidad.

El detalle de las vulnerabilidades de severidades medias y bajas puede consultarse en las referencias.

Listado de referencias
Moodle, Security announcements

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.