Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/05/2013
Múltiples vulnerabilidades en Moodle
Moodle ha publicado varios boletines de seguridad en los que corrigen un total de cinco vulnerabilidades.Riesgo: Medio
Moodle, acrónimo de Modular Object-Oriented Dynamic Learning Environment (en español, Entorno de Aprendizaje Dinámico, Orientado a Objetos y Modular). Es una plataforma educativa de código abierto escrita en PHP, que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.
Los boletines de seguridad van desde MSA-13-0020 hasta el MSA-13-0024 y las vulnerabilidades que corrigen son las identificadas como CVE-2013-1835, CVE-2013-1836, CVE-2013-2079, CVE-2013-2080 y CVE-2013-2081. A grandes rasgos, son las siguientes:
- Un error al no limpiar correctamente los elementos de un formulario.
- Una falta de validación de los comentarios que podría permitir que los usuarios puedan ver un comentario no permitido.
- Un error al manejar los sitios de información registrados podría permitir que la información sea enviada a un sitio aunque no esté marcada.
- Un error en el método 'showtotalsifcontainhidden' en el generador de calificaciones podría ser aprovechado para mostrar valores incorrectos.
- Un error al controlar las descargar de ficheros 'zip' podría permitir a un usuario descargar ficheros enviados por otros usuarios.
Sistemas Afectados:
Se ven afectadas las versiones 2.2.9, 2.4.3 y 2.3.6 y anteriores.
Referencias:CVE-2013-1835, CVE-2013-1836, CVE-2013-2079, CVE-2013-2080 y CVE-2013-2081
Solución:Los errores han sido corregidos en las versiones 2.5, 2.4.4, 2.3.7 y 2.2.10 y pueden ser descargadas desde su página oficial
Notas:
Moodle security news
Official Moodle git projects
Fuente: Hispasec una-al-día