Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/09/2019
Las vulnerabilidades detectadas, podrían dejar expuesto el token de acceso en usuarios que utilizasen un dispositivo móvil. Otra de las vulnerabilidades encontradas podría permitir a un atacante inyección de código en algunas plantillas.
Puede consultar el detalle de la alerta en el siguiente enlace.
Sistemas Afectados:Versiones anteriores a la 3.7.2, 3.6.6 y 3.5.8
Referencias:CVE-2019-14827, CVE-2019-14830,CVE-2019-14828, CVE-2019-14829, CVE-2019-14831
Solución:Actualizar a las versiones 3.7.2, 3.6.6 y 3.5.8.
Notas:MSA-19-0018: JavaScript injection possible in some Mustache templates via recursive rendering from contexts
MSA-19-0019: Course creation did not check the creator's role assignment capability before automatically assigning them as a teacher in the course
MSA-19-0020: Python Machine Learning dependency versions bumped
MSA-19-0021: Activity :addinstance capabilities were not respected when creating a course in single activity format
MSA-19-0022: Open redirect in the mobile launch endpoint could be used to expose mobile access tokens
MSA-19-0023: Forum subscribe link contained an open redirect if forced subscription mode was enabled