Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
23/01/2014
Diversas vulnerabilidades en Moodle
Moodle ha publicado tres boletines de seguridad en los que corrigen otras tantas vulnerabilidades.Moodle, es conocida y ampliamente utilizada como plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.
La primera vulnerabilidad (con CVE-2014-0008) podría permitir a un usuario con permisos administrativos visualizar otras contraseñas administrativas, debido a que los cambios de contraseñas se graban en el 'Config Changes Report' en texto plano.
Un segundo problema (con CVE-2014-0009) podría permitir a usuarios con privilegios 'login as' pero sin permisos para acceder a todos los grupos podría acceder a otros grupos mediante el uso de URL específicamente creadas.
Por último, (con CVE-2014-0010) una vulnerabilidad en el script '/user/profile/index.php' debido a que no valida adecuadamente las entradas facilitadas por los usuarios, lo que podría permitir la construcción de ataques cross-site request forgery.
Sistemas Afectados:Se ven afectadas las versiones 2.6, 2.5 a 2.5.4, 2.4 a 2.4.7, 2.3 a 2.3.10 y anteriores.
Referencias:CVE-2014-0008, CVE-2014-0009, CVE-2014-0010
Solución:Se han publicado las versiones 2.3.11, 2.4.8, 2.5.4 y 2.6.1 para solucionar estos problemas y pueden ser descargadas desde su página oficial.
Notas:MSA-14-0003: Cross-site request forgery vulnerability in profile fields
MSA-14-0002: Group constraints lacking in "login as"
MSA-14-0001: Config passwords visibility issue
Hispasec una-al-dia