Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a la plataforma Moodle, que permitirían a un atacante realizar cross-site scripting (XSS), denegación de servicios (DoS), ejecución remota de código (RCE), entre otros.
Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Alta”, y 2 (dos) de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2022-40314, de severidad “alta”, sin una puntuación asignada aún. Esta vulnerabilidad se debe a una falla en el proceso de restauración de copias de seguridad con formato incorrecto desde Moodle versión 1.9. Esto permitiría a un atacante realizar ejecución remota de código (RCE).
- CVE-2022-40313, de severidad “alta”, sin una puntuación asignada aún. Esta vulnerabilidad se debe a una falla de validación de entrada en la plantilla Mustache. Esto permitiría a un atacante realizar cross-site scripting (XSS), así como denegación de servicios (DoS).
Puede acceder a la lista completa de vulnerabilidades en el siguiente enlace.
Las versiones afectadas son:
- Moodle, versiones 4.0 a 4.0.3, 3.11 a 3.11.9 y 3.9 a 3.9.16, así como versiones anteriores no soportadas en la actualidad.
Recomendamos instalar las actualizaciones correspondientes provistas por Moodle en el siguiente enlace:
Referencias:
- https://www.incibe.es/protege-tu-empresa/avisos-seguridad/moodle-corrige-multiples-vulnerabilidades-actualiza-0
- https://moodle.org/mod/forum/discuss.php?d=438392
- https://moodle.org/mod/forum/discuss.php?d=438393
- https://moodle.org/mod/forum/discuss.php?d=438394
- https://download.moodle.org/releases/latest/