Actualización de seguridad en Moodle

Moodle es una plataforma de aprendizaje diseñada para proporcionarle a educadores, administradores y estudiantes un sistema integrado único y robusto para crear ambientes de aprendizaje personalizados. En términos más técnicos, es un sistema web dinámico creado para gestionar entornos de enseñanza virtual, basado en tecnología PHP y bases de datos MySQL.

Se han publicado 5 vulnerabilidades en Moodle, 3 de severidad crítica y 2 de severidad baja, que podrían permitir ataques de tipo XSS, la ejecución arbitraria de código PHP, la divulgación de información o la denegación de servicio en el lado del cliente.

Versiones afectadas

• versión 3.10.
• desde la versión 3.9, hasta la 3.9.3.
• desde la versión 3.8, hasta la 3.8.6.
• desde la versión 3.5, hasta la 3.5.15.
• versiones anteriores, sin soporte.

A continuación se describen las vulnerabilidades con sus respectivos identificadores asignados

El CVE-2021-20183 (severidad crítica), afecta a la versión 3.10 y provoca la validación insuficiente de consultas de búsqueda, desde la plantilla de búsqueda de entradas, podría permitir a un atacante llevar a cabo ataques XSS reflejados.

El CVE-2021-20186 (severidad crítica), afecta a las versiones 3.10, 3.9 a 3.9.3, 3.8 a 3.8.6, 3.5 a 3.5.15 y versiones anteriores no compatibles y provoca el saneado insuficiente del contenido TeX, cuando el filtro de notación TeX está activado, podría permitir a un atacante llevar a cabo ataques del tipo XSS almacenado.

El CVE-2021-20187 (severidad crítica), afecta a las versiones 3.10, 3.9 a 3.9.3, 3.8 a 3.8.6 y permite la ejecución de scripts PHP arbitrarios a través de un include PHP, utilizado durante la autenticación de Shibboleth.

Para el resto de vulnerabilidades de severidad baja, que afectan a las versiones 3.10, 3.9 a 3.9.3, 3.8 a 3.8.6, 3.5 a 3.5.15 y versiones anteriores no compatibles, se han asignado los identificadores CVE-2021-20184 y CVE-2021-20185.

Recomendaciones de seguridad

Actualizar a su versión más reciente:

• 3.10.1, disponible en su sitio web oficial.
• 3.9.4, disponible en su sitio web oficial.
• 3.8.7, disponible en sitio web oficia.
• 3.5.16, disponible en sitio web oficial.

Referencias

• https://moodle.org/mod/forum/discuss.php?d=417166
• https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-moodle-12