Se han publicado 4 vulnerabilidades en la plataforma Moodle que permitiría a un atacante, inyección SQL, Improper Access Control y Cross Site Request Forgery.
Las vulnerabilidades reportadas son las siguientes:
- CVE-2022-0332 de severidad alta, con una puntuación de 7.9. Esta vulnerabilidad se debe a un fallo en la sanitización de los datos proveídos por el usuario en el componente mod_h5pactivity. Un atacante remotamente podría enviar una petición maliciosa a la aplicación y ejecutar comandos SQL arbitrarios.
- CVE-2022-0333 de severidad media, con una puntuación de 4.7. Esta vulnerabilidad se debe a un fallo en el control de acceso de las funcionalidades del calendario. Un atacante autenticado remotamente podría evadir las restricciones de seguridad implementadas accediendo y/o modificando cualquier evento de calendario.
- CVE-2022-0334 de severidad media, con una puntuación de 4.7. Esta vulnerabilidad se debe a un fallo en las restricciones de acceso. Un atacante remotamente autenticado podría acceder a una libreta de calificaciones diferente al suyo.
- CVE-2022-0335 de severidad baja, con una puntuación de 3.1. La vulnerabilidad se debe a una falla en la validación del origen de la petición HTTP en la funcionalidad «delete badge alignment«. Un atacante remoto podría engañar a la víctima para que visite una página web especialmente diseñada y realice acciones arbitrarias en nombre de la víctima en el sitio web vulnerable.
Estas vulnerabilidades afectan las siguientes versiones:
- Moodle 3.11, 3.11.0, 3.11.1, 3.11.2, 3.11.3 y 3.11.4.
- Moodle 3.10.0, 3.10.1, 3.10.2, 3.10.3, 3.10.4, 3.10.5, 3.10.6, 3.10.7 y 3.10.8.
- Moodle 3.9.0, 3.9.1, 3.9.2, 3.9.3, 3.9.4, 3.9.5, 3.9.6, 3.9.7, 3.9.8, 3.9.9, 3.9.10 y 3.9.1.
Recomendamos instalar o actualizar la última versión de moodle provista por el fabricante en el siguiente enlace.
Referencias: