Facebook Instagram Linkedin
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Múltiples vulnerabilidades en Moodle

In Noticias y Avisos CiberseguridadPosted

Múltiples vulnerabilidades en Moodle

Aviso
Recursos Afectados

Versiones que ya carecen de soporte y:

  • Moodle 5.0;
  • Moodle 4.5 hasta 4.5.4;
  • Moodle 4.4 hasta 4.4.8;
  • Moodle 4.1 hasta 4.1.18.
Descripción

Moodle ha publicado correcciones para 8 vulnerabilidades, 5 de ellas altas. Su explotación podría permitir visualizar información para la que no se tiene permisos, provocar una falsificación de solicitudes del lado del servidor (SSRF) o generar un Cross-Site Scripting (XSS), entre otros.

Identificador
INCIBE-2025-0328

4 – Alta
Solución

Actualizar a alguna de las siguientes versiones:

  • Moodle 5.0.1;
  • Moodle 4.5.5;
  • Moodle 4.4.9;
  • Moodle 4.1.19.
Detalle

Las vulnerabilidades de severidad alta son:

  • CVE-2025-49517: comprobaciones insuficientes de autorización, pueden derivar en que los usuarios puedan visualizar registros BigBlueButton para los que no tienen permisos de acceso.
  • CVE-2025-49515: comprobaciones insuficientes de estado y capacidad, pueden hacer que algunos detalles de cursos ocultos (como el nombre del curso, descripción y profesores) estén disponibles para usuarios que no tenían permisos para acceder a ellos.
  • CVE-2025-49514: la forma en que se gestionan la peticiones cURL tienen un riesgo de rebind DNS que podría derivar en un riesgo SSRF, debido a la posibilidad de que las configuraciones del sitio de hosts bloqueados / puertos permitidos de cURL fueran omitidas.
  • CVE-2025-46337: el método pg_insert_id() de la biblioteca ADOdb era susceptible a inyección SQL. Es importante señalar que el núcleo de Moodle LMS no se vio afectado por esta vulnerabilidad, sin embargo, como medida de precaución, esta biblioteca se ha actualizado para eliminar el riesgo por completo, en caso de que cualquier código de terceros o plugins utilice este código vulnerable.
  • CVE-2025-49512: Se omitió una extensión en la configuración de MathJax que se suministra con Moodle cuando en LMS 5.0 se actualiza la biblioteca, lo que provoca un riesgo de XSS.

El resto de vulnerabilidades se pueden consultar en las referencias.

Listado de referencias
Moodle – Security announcements
Moodle – MSA-25-0035: Missing authorisation checks in BigBlueButton view page
Moodle – MSA-25-0033: Course visibility not honoured consistently
Moodle – MSA-25-0032: SSRF risk via DNS rebind
Moodle – MSA-25-0031: Upgrade ADOdb including security fix (upstream)
Moodle – MSA-25-0029: XSS risk in MathJax (safe extension not loaded)

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.