Múltiples vulnerabilidades de riesgo alto y bajo en Moodle

Recientemente han sido abordadas un total de 4 vulnerabilidades que afectan a Moodle, de las cuales 3 han sido catalogadas como altas y 1 de riesgo bajo. La explotación exitosa de estos fallos podría permitir a un atacante escalar privilegios, realizar ataques de denegación de servicios (DoS) e inyectar código malicioso.

Las versiones afectadas son:

• Moodle en versiones anteriores a 3.5;
• Moodle en versiones 3.5 hasta la 3.5.12:
• Moodle en versiones 3.7 hasta la 3.7.6;
• Moodle en versiones 3.8 hasta la 3.8.3 y
• Moodle versión 3.9

A continuación, se detallan brevemente las vulnerabilidades:

Fallos de riesgo alto:

El CVE-2020-14320, trata de una vulnerabilidad de XSS (Cross-site Scripting) reflejado que afecta a las versiones 3.9, 3.8 hasta la 3.8.3 y 3.7 hasta la 3.7.6 de Moodle. El fallo se da debido a una validación insuficiente de los datos proveídos por el usuario en el filtro de registros de tareas administrativas, un atacante podría tomar provecho de esto engañando a un usuario víctima para que ingrese a un enlace malicioso y de tener éxito, ejecutar HTML arbitrario o código javascript malicioso en el navegador de la víctima. La explotación exitosa de esta vulnerabilidad permitiría a un atacante remoto obtener información potencialmente confidencial, cambiar la apariencia del sitio web, realizar ataques phishing y drive-by-download (descarga involuntaria de software malicioso a través de páginas de Internet).

El CVE-2020-14321, trata de una vulnerabilidad de escalamiento de privilegios que afecta a todas las versiones de Moodle anteriormente mencionadas. El fallo se da debido a una falta de restricciones de seguridad dentro de las inscripciones de los cursos. La explotación exitosa de esta vulnerabilidad permitiría a un atacante remoto y autenticado con privilegios de profesor escalar a los privilegios de manager.

El CVE-2020-14322, trata de una vulnerabilidad de denegación de servicios (DoS) que afecta a todas las versiones de Moodle anteriormente mencionadas. Este fallo se da debido a una validación errónea de los datos proveídos por un usuario en el módulo yui_combo, un atacante podría ingresar una entrada especialmente diseñada y realizar un ataque de denegación de servicio (DoS).

Fallo de riesgo bajo:

Finalmente, el CVE-2019-11358 trata de una vulnerabilidad de divulgación de información en la librería de Javascript JQuery utilizada por el administrador de librerías H5P de Moodle en versiones 3.8 hasta la 3.8.3 y se da debido a un mal manejo de la función JQuery.extend() que podría llevar a un Object.prototype pollution. La explotación exitosa de esta vulnerabilidad permitiría a un atacante remoto obtener acceder a información confidencial potencialmente útil para realizar otros ataques.

Recomendaciones:

• Aplicar los parches de seguridad de Moodle, disponibles en las siguientes versiones:
  • Moodle 3.9.1;
  • Moodle 3.8.4;
  • Moodle 3.7.7 o
  • Moodle 3.5.13
• Instalar un WAF (Web Application Firewall) que filtre las peticiones HTTP maliciosas.

Referencias:

• https://moodle.org/mod/forum/discuss.php?d=407394#p1644269
• https://moodle.org/mod/forum/discuss.php?d=407393#p1644268
• https://moodle.org/mod/forum/discuss.php?d=407392#p1644267
• https://moodle.org/mod/forum/discuss.php?d=407391#p1644266
• https://www.cybersecurity-help.cz/vdb/SB2020072004