Fueron abordadas recientemente en actualizaciones de seguridad 5 vulnerabilidades que afectan a diversas versiones de Moodle, de las cuales 3 han sido catalogadas con riesgo alto y 2 con riesgo bajo. La explotación exitosa de estos fallos permitiría a un atacante inyectar código malicioso, escalar privilegios y realizar ataques de denegación de servicios (DoS).
Las versiones afectadas son:
- Moodle en versiones anteriores a la 3.5;
- Moodle en versiones 3.5 a 3.5.13;
- Moodle en versiones 3.7 a 3.7.7;
- Moodle en versiones 3.8 a 3.8.4 y
- Moodle en versiones 3.9 a 3.9.1
A continuación, se detallan brevemente las vulnerabilidades descubiertas:
Fallos de riesgo alto:
El CVE-2020-25628, trata de una vulnerabilidad de tipo Cross-site Scripting (XSS) que afecta a todas las versiones de Moodle mencionadas anteriormente y se da debido a una sanitización insuficiente de los datos proporcionados por un usuario al filtro en el registro de tareas de administración o admin task log.
Mientras que el CVE-2020-25627, trata de una vulnerabilidad de Cross-site Scripting (XSS) almacenado, que afecta a las versiones 3.9 a 3.9.1 de Moodle; y se da debido a una falta de sanitización de los datos proporcionados por el usuario en el parámetro moodlenetprofile del perfil del usuario.
La explotación exitosa de ambas vulnerabilidades, podría permitir a un atacante remoto engañar a una potencial víctima para que ingrese a un enlace malicioso y de tener éxito inyectar HTML arbitrario y código script en el navegador de la víctima en el contexto de un sitio web vulnerable.
Por otra parte, el CVE-2020-25630 afecta a todas las versiones de Moodle mencionadas anteriormente y se da debido a que el tamaño descomprimido de los archivos zip no son comparados con la cuota de usuario disponible antes de descomprimirlos con la función de descompresión del selector de archivos. Un atacante remoto podría explotar exitosamente este fallo engañando a una potencial víctima para que esta descomprima un archivo de gran tamaño, lo que llevaría a un ataque de denegación de servicios (DoS).
Fallos de riesgo bajo:
El CVE-2020-25629, trata de una vulnerabilidad de Improper Authorization que afecta a todas las versiones de Moodle mencionadas anteriormente y se da debido a un error dentro de la característica “Log in as”. Un atacante remoto con la capacidad “Log in as” en el contexto de un curso, podría obtener acceso a algunas capacidades de administración del sitio, utilizando la característica “Log in as” para iniciar sesión como administrador del sistema.
Finalmente, el CVE-2020-25631 trata de una vulnerabilidad de Cross-site Scripting (XSS) que afecta a las versiones 3.9 a 3.9.1, 3.8 a 3.8.4 y 3.7 a 3.7.7 de Moodle; y se da debido a una sanitización insuficiente de los datos proporcionados por el usuario a través del título del capítulo de un libro. La explotación exitosa de este fallo permitiría a un atacante remoto inyectar Javascript arbitrario en el navegador de la víctima. Cabe destacar que, esta funcionalidad por defecto solo se encuentra disponible para usuarios de confianza (como Profesores).
Recomendaciones:
- Aplicar los parches de seguridad para Moodle, disponibles en las siguientes versiones:
- Instalar un WAF (Web Application Firewall) que filtre las peticiones HTTP que contengan código malicioso.
Referencias:
- https://moodle.org/mod/forum/discuss.php?d=410840#p1657002
- https://moodle.org/mod/forum/discuss.php?d=410839#p1657001
- https://moodle.org/mod/forum/discuss.php?d=410842#p1657004
- https://moodle.org/mod/forum/discuss.php?d=410841#p1657003
- https://moodle.org/mod/forum/discuss.php?d=410843#p1657005
- https://www.cybersecurity-help.cz/vdb/SB2020092106