Moodle es una plataforma de aprendizaje diseñada para proporcionarle a educadores, administradores y estudiantes un sistema integrado único y robusto para crear ambientes de aprendizaje personalizados. En términos más técnicos, es un sistema web dinámico creado para gestionar entornos de enseñanza virtual, basado en tecnología PHP y bases de datos MySQL.
Se han publicado 5 vulnerabilidades en Moodle, 3 de severidad crítica y 2 de severidad baja, que podrían permitir ataques de tipo XSS, la ejecución arbitraria de código PHP, la divulgación de información o la denegación de servicio en el lado del cliente.
Versiones afectadas
- versión 3.10.
- desde la versión 3.9, hasta la 3.9.3.
- desde la versión 3.8, hasta la 3.8.6.
- desde la versión 3.5, hasta la 3.5.15.
- versiones anteriores, sin soporte.
A continuación se describen las vulnerabilidades con sus respectivos identificadores asignados
El CVE-2021-20183 (severidad crítica), afecta a la versión 3.10 y provoca la validación insuficiente de consultas de búsqueda, desde la plantilla de búsqueda de entradas, podría permitir a un atacante llevar a cabo ataques XSS reflejados.
El CVE-2021-20186 (severidad crítica), afecta a las versiones 3.10, 3.9 a 3.9.3, 3.8 a 3.8.6, 3.5 a 3.5.15 y versiones anteriores no compatibles y provoca el saneado insuficiente del contenido TeX, cuando el filtro de notación TeX está activado, podría permitir a un atacante llevar a cabo ataques del tipo XSS almacenado.
El CVE-2021-20187 (severidad crítica), afecta a las versiones 3.10, 3.9 a 3.9.3, 3.8 a 3.8.6 y permite la ejecución de scripts PHP arbitrarios a través de un include PHP, utilizado durante la autenticación de Shibboleth.
Para el resto de vulnerabilidades de severidad baja, que afectan a las versiones 3.10, 3.9 a 3.9.3, 3.8 a 3.8.6, 3.5 a 3.5.15 y versiones anteriores no compatibles, se han asignado los identificadores CVE-2021-20184 y CVE-2021-20185.
Recomendaciones de seguridad
Actualizar a su versión más reciente:
- 3.10.1, disponible en su sitio web oficial.
- 3.9.4, disponible en su sitio web oficial.
- 3.8.7, disponible en sitio web oficia.
- 3.5.16, disponible en sitio web oficial.
Referencias