Introducción
Se han publicado 4 nuevas vulnerabilidades que afectan a varias versiones de Moodle, dos de ellas críticas [1]. Las versiones de Moodle afectadas son las siguientes:
- De la 3.11 a la 3.11.4.
- De la 3.10 a la 3.10.8.
- De la 3.9 a la 3.9.11.
- versiones anteriores sin soporte.
Análisis
Las nuevas vulnerabilidades identificadas son las siguientes:
CVE-2022-0332 [2]: Se ha identificado un riesgo de inyección SQL en el servicio web h5p activity, responsable de obtener los datos de los intentos de los usuarios. Está vulnerabilidad se ha catalogado como crítica.
CVE-2022-0335 [3]: La capacidad calendar:manageentries permitía a los administradores acceder o modificar cualquier evento del calendario, pero debería haberse restringido el acceso a los eventos de nivel de usuario. Está vulnerabilidad se ha catalogado como crítica.
CVE-2022-0333 [4]: Comprobaciones insuficientes de permisos podría causar que los usuarios accedieran a su informe de calificaciones para cursos en los que no tienen los permisos requeridos de gradereport/user:view. Está vulnerabilidad se ha catalogado como media.
CVE-2022-0334 [5]: La funcionalidad de «delete badge alignment» no incluía la comprobación de tokens necesaria para evitar un riesgo de Cross-site request forgery (CSRF). Esta vulnerabilidad se ha catalogado como media.
Recomendaciones
Se recomienda actualizar Moodle a las versiones 3.11.5, 3.10.9 o 3.9.12. [6] [7]
Referencias
[1] https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-moodle-18
[2] https://moodle.org/mod/forum/discuss.php?d=431099
[3] https://moodle.org/mod/forum/discuss.php?d=431100
[4] https://moodle.org/mod/forum/discuss.php?d=431102
[5] https://moodle.org/mod/forum/discuss.php?d=431103
[6] https://download.moodle.org/
[7] https://download.moodle.org/releases/security/