Cabecera-v2-web.jpg

Actualización de seguridad en Moodle


25/01/2021

Moodle es una plataforma de aprendizaje diseñada para proporcionarle a educadores, administradores y estudiantes un sistema integrado único y robusto para crear ambientes de aprendizaje personalizados. En términos más técnicos, es un sistema web dinámico creado para gestionar entornos de enseñanza virtual, basado en tecnología PHP y bases de datos MySQL.

Se han publicado 5 vulnerabilidades en Moodle, 3 de severidad crítica y 2 de severidad baja, que podrían permitir ataques de tipo XSS, la ejecución arbitraria de código PHP, la divulgación de información o la denegación de servicio en el lado del cliente.

Versiones afectadas

  • versión 3.10.
  • desde la versión 3.9, hasta la 3.9.3.
  • desde la versión 3.8, hasta la 3.8.6.
  • desde la versión 3.5, hasta la 3.5.15.
  • versiones anteriores, sin soporte.

A continuación se describen las vulnerabilidades con sus respectivos identificadores asignados

El CVE-2021-20183 (severidad crítica), afecta a la versión 3.10 y provoca la validación insuficiente de consultas de búsqueda, desde la plantilla de búsqueda de entradas, podría permitir a un atacante llevar a cabo ataques XSS reflejados.

El CVE-2021-20186 (severidad crítica), afecta a las versiones 3.10, 3.9 a 3.9.3, 3.8 a 3.8.6, 3.5 a 3.5.15 y versiones anteriores no compatibles y provoca el saneado insuficiente del contenido TeX, cuando el filtro de notación TeX está activado, podría permitir a un atacante llevar a cabo ataques del tipo XSS almacenado.

El CVE-2021-20187 (severidad crítica), afecta a las versiones 3.10, 3.9 a 3.9.3, 3.8 a 3.8.6 y permite la ejecución de scripts PHP arbitrarios a través de un include PHP, utilizado durante la autenticación de Shibboleth.

Para el resto de vulnerabilidades de severidad baja, que afectan a las versiones 3.10, 3.9 a 3.9.3, 3.8 a 3.8.6, 3.5 a 3.5.15 y versiones anteriores no compatibles, se han asignado los identificadores CVE-2021-20184 y CVE-2021-20185.

Recomendaciones de seguridad

Actualizar a su versión más reciente:

Referencias



pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11