Vulnerabilidad de inyección SQL (SQLi) detectada en Moddle

Se ha detectado una vulnerabilidad del tipo SQL Injection que permitiría a un atacante inyectar código SQL arbitrario.

La vulnerabilidad fue identificada como CVE-2022-0332 de severidad crítica, con una puntuación de 9.8. Esta vulnerabilidad se debe a un error en el componente h5p web activity. Esto permitiría a un atacante inyectar código SQL arbitrario en el sistema afectado, pudiendo comprometer la base de datos.

La versión afectada es:

Moodle versiones anteriores a la 3.11.5.

Se recomienda actualizar a la última versión más reciente proveída por el fabricante:

• https://docs.moodle.org/20/en/Upgrading

Referencias:

• BOL-CERT-PY-2022-16 Vulnerabilidad de inyeccion SQL detectada en Moddle
• https://nvd.nist.gov/vuln/detail/CVE-2022-0332  
• https://portswigger.net/daily-swig/sql-injection  
• https://security.snyk.io/vuln/SNYK-PHP-MOODLE