Se han reportado nuevos avisos de seguridad sobre dos vulnerabilidades que afectan a Moodle, que permitirían a un atacante crear carpetas arbitrarias y realizar inyección SQL (SQLi) en el sistema afectado.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Alta” y 1 (una) de severidad “Baja”. Las mismas se detallan a continuación:
- CVE-2023-30943, de severidad “Alta”, sin una puntuación asignada aún. Esta vulnerabilidad se debe a una incorrecta validación en los loaders utilizados por TinyMCE de Moodle. Esto permitiría a un atacante crear carpetas arbitrarias en el sistema afectado.
- CVE-2023-30944, de severidad “Baja”, sin una puntuación asignada aún. Esta vulnerabilidad se debe a una falla en la funcionalidad utilizada por la actividad Wiki al listar páginas de Moodle. Esto permitiría a un atacante realizar inyección SQL (SQLi) de manera limitada en el sistema afectado.
Las versiones afectadas son:
- Moodle, versiones 4.1 a 4.1.2, 4.0 a 4.0.7, 3.11 a 3.11.13, 3.9 a 3.9.20 y versiones anteriores sin soporte.
Recomendamos instalar las actualizaciones correspondientes provistas por Moodle en el siguiente enlace:
Referencias:
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-moodle
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-30943
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-30944
- https://moodle.org/mod/forum/discuss.php?d=446285
- https://moodle.org/mod/forum/discuss.php?d=446286
- https://download.moodle.org/releases/latest/