Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/11/2019
Vulnerabilidades en Moodle
Se han publicado seis nuevas vulnerabilidades en esta plataforma. Las más peligrosas podrían provocar ataques de tipo Cross Site Scripting (XSS) y/o comprometer la cuenta.Riesgo: Alto
De las seis fallos detectados, cuatro son de criticidad baja. El resto son de categoría importante.
La vulnerabilidad de Cross Site Scripting (XSS) podría darse en algunos mensajes de error. Por otra parte, algunos inicios de sesión de OAuth 2, podrían comprometer las cuentas.
Las versiones afectadas son aquellas que ya no tienen soporte y:
- de la 3.7 a la 3.7.2
- de la 3.6 a la 3.6.6
- de la 3.5 a la 3.5.8
CVE-2019-14879, CVE-2019-14880, CVE-2019-14881, CVE-2019-14882, CVE-2019-14883, CVE-2019-14884
Solución:Actualizar a la última versión disponible de Moodle.
Notas:- MSA-19-0024: Assigned Role in Cohort did not un-assign on removal
- MSA-19-0025: Add additional verification for some OAuth 2 logins to prevent account compromise
- MSA-19-0026: Blind XSS reflected in some locations where user email is displayed
- MSA-19-0027: Open redirect in Lesson edit page
- MSA-19-0028: Email media URL tokens were not checking for user status
- MSA-19-0029: Reflected XSS possible from some fatal error messages
Fuente: Incibe-cert