Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/09/2020
Vulnerabilidades en Moodle
Se han reportado 5 vulnerabilidades, 3 con severidad alta y 2 bajas, de tipo XSS almacenado, XSS reflejado y escalada de privilegios entre otras.Las vulnerabilidades detectadas afectan a:
El campo de perfil del usuario moodlenetprofile no valida suficientemente los datos introducidos para evitar el riesgo de sufrir un ataque XSS almacenado.
El filtro en el registro de tareas de administración no valida suficientemente los datos introducidos para evitar el riesgo de sufrir un ataque XSS reflejado.
No se comprueba el tamaño de los archivos zip en relación a la cuota de usuario disponible antes de descomprimirlos, lo que podría generar una condición de denegación de servicio (DoS).
Más información en el siguiente enlace.
Sistemas Afectados:Desde la versión 3.9,hasta la versión 3.9.1;
Desde la versión 3.8, hasta la versión 3.8.4;
Desde la versión 3.7, hasta la versión 3.7.7;
Desde la versión 3.5, hasta la versión 3.5.13;
versiones anteriores no compatibles.
Referencias:CVE-2020-25627, CVE-2020-25628, CVE-2020-2563, CVE-2020-25629 y CVE-2020-25631.
Solución:Moodle ha publicado diversas actualizaciones, en función de la versión afectada:
- 3.9.2;
- 3.8.5;
- 3.7.8;
- 3.5.14.
Más información: