Múltiples vulnerabilidades en Moodle

Moodle ha publicado un aviso de seguridad sobre múltiples vulnerabilidades, que permitirían a un atacante realizar inyección SQL o borrar cuentas de usuarios.

Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica” y 4 (cuatro) de severidad “Baja”. Las principales se detallan a continuación:

  • CVE-2022-0983, de severidad crítica, sin puntuación asignada aún. Esta vulnerabilidad se debe a un error desconocido que permitiría a un atacante realizar inyección SQL, en el código de insignias relacionado con la configuración de criterios. Solo los profesores/gerentes/administradores pueden explotar esta debilidad de manera predeterminada, ya que requiere la capacidad de agregar y habilitar criterios de insignia.
  • CVE-2022-0985 de severidad baja, sin una puntuación asignada aún. Esta vulnerabilidad se debe a errores en las comprobaciones de capacidad que podrían permitir a los usuarios con la opción moodle/site:uploadusers eliminar usuarios, sin tener la opción de moodle/user:delete.
  • CVE-2022-0984 de severidad baja, sin una puntuación asignada aún. Esta vulnerabilidad se debe a que los usuarios con la capacidad de configurar criterios de insignia (profesores y gerentes de forma predeterminada) podrían configurar insignias de curso con criterios de campo de perfil, que solo deberían estar disponibles para insignias de sitio.

Las otras dos vulnerabilidades restantes no tienen CVE asignado aún.

Las versiones afectadas en Moodle son:

  • Moodle versión 3.11 a 3.11.5,
  • Moodle versión 3.10 a 3.10.9,
  • Moodle versión 3.9 a 3.9.12 y versiones anteriores no compatibles.

Recomendamos instalar las actualizaciones correspondientes, mediante el siguiente enlace:

Referencias:

Compartir: