CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

20/05/2011

Vulnerabilidades en Moodle

Se han reportado varias vulnerabilidades en Moodle que podrían ser explotadas por usuarios maliciosos para saltarse determiandas restricciones de seguridad y para realizar ataques de tipo cross-site scripting.

Riesgo: Bajo

Se han reportado varias vulnerabilidades en Moodle que podrían ser explotadas por usuarios maliciosos para saltarse determiandas restricciones de seguridad y para realizar ataques de tipo cross-site scripting.

1) Existe un error en la manipulación de los permisos de acceso de un profesot cuando revisa los informes de un grupo a través de la página de revisión de cuestionarios. Esta vulnerabilidad puede ser explotada para ver informes de todos los estudiantes que de otra forma estaría restringido.

2) Un error en user/profile.php cuando se muestra la página del perfil completo, que podría llevar a enseñar la dirección de correo del usuario a otros usuarios que no pertenezcan a su mismo curso.

Esta vulnerabilidad no afecta a las versiones 1.9.x.

3) Una determinada entrada sin especificar no se sanitiza correctamente antes de ser devuelta al usuario. Esto puede ser aprovechado par aejecutar código HTML y script arbitrario en la sesión del navegador, dentro del contexto del sitio afectado.

Esta vulnerabilidad no afecta a las versiones 2.0.x.

Sistemas Afectados:

Moodle 1.9.x
Moodle 2.0.x

Referencias:

None

Solución:

Actualizar a la versión 1.9.12 o 2.0.3.

Notas:

El proveedor reconoce a:
1) Claire Browne
2) Petr Skoda
3) Panagiotis Petasis

Aviso original:
MSA-11-0013:
http://moodle.org/mod/forum/discuss.php?d=175590

MSA-11-0014:
http://moodle.org/mod/forum/discuss.php?d=175591

MSA-11-0015:
http://moodle.org/mod/forum/discuss.php?d=175592

Fuente: Secunia Advisories

CSIRT-CV