Se han identificado nuevas vulnerabilidades de severidad alta en la plataforma de e-learning Moodle, de código abierto y ampliamente utilizada para la provisión de cursos.
Productos afectados:
- Versiones 4.5.x y anteriores a la 4.5.1.
- Versiones 4.4.x y anteriores a la 4.4.5.
- Versiones 4.3.x y anteriores a la 4.3.9.
- Versiones 4.1.x y anteriores a la 4.1.15
Impacto
Las vulnerabilidades de severidad alta se identifican como:
- CVE-2024-55643: Podría permitir el acceso sin protección a información confidencial a través del servicio web del plan de aprendizaje de Moodle. Esta falla podríapermitir a usuarios no autorizados recuperar información sensible.
- CVE-2024-55647: Esta vulnerabilidad en el XSS reflejado en el filtro del banco de preguntas de Moodle, podría permitir a un actor malicioso ejecutar scripts maliciosos en el contexto de un usuario legítimo.
- CVE-2024-55648: Esta vulnerabilidad de denegación de servicio (DoS) en Moodle debido a un período de espera más prolongado para las sesiones de usuarios invitados en comparación con las sesiones de usuarios autenticados, podría ser explotada para afectar la disponibilidad del servicio.
Recomendación:
Actualizar los productos afectados a la última versión disponible desde la web oficial del fabricante.
Referencias:
https://moodle.org/security/
https://moodle.org/mod/forum/discuss.php?d=464554&parent=1864992
https://moodle.org/mod/forum/discuss.php?d=464558&parent=1864996
https://moodle.org/mod/forum/discuss.php?d=464559&parent=1864997