Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/05/2011
Se han reportado varias vulnerabilidades en Moodle que podrían ser explotadas por usuarios maliciosos para saltarse determiandas restricciones de seguridad y para realizar ataques de tipo cross-site scripting.
1) Existe un error en la manipulación de los permisos de acceso de un profesot cuando revisa los informes de un grupo a través de la página de revisión de cuestionarios. Esta vulnerabilidad puede ser explotada para ver informes de todos los estudiantes que de otra forma estaría restringido.
2) Un error en user/profile.php cuando se muestra la página del perfil completo, que podría llevar a enseñar la dirección de correo del usuario a otros usuarios que no pertenezcan a su mismo curso.
Esta vulnerabilidad no afecta a las versiones 1.9.x.
3) Una determinada entrada sin especificar no se sanitiza correctamente antes de ser devuelta al usuario. Esto puede ser aprovechado par aejecutar código HTML y script arbitrario en la sesión del navegador, dentro del contexto del sitio afectado.
Esta vulnerabilidad no afecta a las versiones 2.0.x.
Sistemas Afectados:Moodle 1.9.x
Moodle 2.0.x
None
Solución:Actualizar a la versión 1.9.12 o 2.0.3.
Notas:El proveedor reconoce a:
1) Claire Browne
2) Petr Skoda
3) Panagiotis Petasis
Aviso original:
MSA-11-0013:
http://moodle.org/mod/forum/discuss.php?d=175590
MSA-11-0014:
http://moodle.org/mod/forum/discuss.php?d=175591
MSA-11-0015:
http://moodle.org/mod/forum/discuss.php?d=175592