Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/03/2015
Recientemente los responsables de la plataforma Moodle han publicado actualizaciones para la misma, ya que entre otras mejoras se subsanan 8 vulnerabilidades de seguridad, 3 de ellas calificadas como graves. Las detallamos a continuación:
El resto de vulnerabilidades comprenden inyección HTML, elevación de privilegios de los usuarios en el sitio, liberación de información y XSS.
Sistemas Afectados:Están afectadas las siguientes versiones de la plataforma Moodle:
CVE-2015-2268, CVE-2015-2272, CVE-2015-2267, CVE-2015-2269, CVE-2015-2271, CVE-2015-2266, CVE-2015-2270, CVE-2015-2273
Solución:Para paliar las vulnerabilidades se recomienda actualizar la plataforma Moodle a una de las siguientes versiones:
Detalle de las vulnerabilidades subsanadas (en inglés):
MSA-15-0010: Personal contacts and number of unread messages can be revealed
https://moodle.org/mod/forum/discuss.php?d=307380&parent=1237898
MSA-15-0011: Authentication in mdeploy can be bypassed
https://moodle.org/mod/forum/discuss.php?d=307381&parent=1237899
MSA-15-0012: ReDoS Possible with Convert links to URLs filter
https://moodle.org/mod/forum/discuss.php?d=307382&parent=1237900
MSA-15-0013: Block title not properly escaped and may cause HTML injection
https://moodle.org/mod/forum/discuss.php?d=307383&parent=1237901
MSA-15-0014: Potential information disclosure for the inaccessible courses
https://moodle.org/mod/forum/discuss.php?d=307384&parent=1237902
MSA-15-0015: User without proper permission is able to mark the tag as inappropriate
https://moodle.org/mod/forum/discuss.php?d=307385&parent=1237903
MSA-15-0016: Web services token can be created for user with temporary password
https://moodle.org/mod/forum/discuss.php?d=307386&parent=1237904
MSA-15-0017: XSS in quiz statistics report
https://moodle.org/mod/forum/discuss.php?d=307387&parent=1237905