Se ha reportado un nuevo aviso de seguridad sobre tres vulnerabilidades que afectan a Moodle, que permitirían a un atacante realizar escalamiento de privilegios, ejecución de código arbitrario o acceder a determinados servicios en el sistema afectado.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Alta” y 2 (dos) de severidad “Baja”. Las mismas se detallan a continuación:
- CVE-2023-35133, de severidad “Alta” y sin puntuación asignada aún. Esta vulnerabilidad del tipo server-side request forgery (SSRF) se debe a una incorrecta validación de la lógica utilizada para gestionar las listas de hosts bloqueados de cURL en Moodle. Esto permitiría a un atacante realizar escalamiento de privilegios y ejecución remota de código (RCE) en el sistema afectado.
- CVE-2023-35132, de severidad “Baja” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en la página de control de acceso de Mnet SSO en Moodle. Esto permitiría a un atacante realizar inyección SQL (SQLi) de manera limitada en el sistema afectado.
- CVE-2023-35131, de severidad “Baja” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de validación de datos de entrada en el contenido de la página de grupos en Moodle. Esto permitiría a un atacante realizar ataques cross-site scripting (XSS) induciendo a la víctima para que visite un enlace especialmente diseñado y ejecute código Javascript en el navegador de la víctima.
Las versiones afectadas son:
- Moodle, versión 4.2.
- Moodle, versiones 4.1 a 4.1.3.
- Moodle, versiones 4.0 a 4.0.8.
- Moodle, versiones 3.11 a 3.11.14.
- Moodle, versiones 3.9 a 3.9.21.
- Versiones anteriores no compatibles.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace:
Referencias:
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-moodle-0
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-35133
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-35132
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-35131
- https://moodle.org/mod/forum/discuss.php?d=447831
- https://moodle.org/mod/forum/discuss.php?d=447830
- https://moodle.org/mod/forum/discuss.php?d=447829
- https://download.moodle.org/releases/latest/