Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
10/02/2015
Escalada de directorios en Moodle
Se ha detectado una vulnerabilidad de escalada de directorios que podría permitir a un atacante obtener información sensible del sistema.Riesgo: Alto
El problema reside en que el parámetro "file" no limpia adecuadamente las entradas del usuario, lo que podría permitir introducir peticiones cadenas clásicas de escalada de directorios ('../'). De esta forma el atacante podría tener acceso a archivos arbitrarios del sistema situados fuera del directorio de Moodle. Se ven afectados todos los sistemas operativos, pero los sistemas Windows son especialmente vulnerables.
Sistemas Afectados:Se ven afectadas todas las ramas soportadas 2.8, 2.7, 2.6 y versiones anteriores ya fuera de soporte.
Referencias:CVE-2015-1493
Solución:Actualizar a las versiones 2.8.3, 2.7.5 y 2.6.8 o superiores.
Notas:
MSA-15-0009: Directory Traversal Attack possible through some files serving JS
Fuente: Hispasec una-al-dia