Introducció
S’han publicat 4 noves vulnerabilitats que afecten diverses versions de Moodle, dos d’elles crítiques [1]. Les versions de Moodle afectades són les següents:
- De la 3.11 a la 3.11.4.
- De la 3.10 a la 3.10.8.
- De la 3.9 a la 3.9.11.
- versions anteriors sense suport.
Anàlisi
Les noves vulnerabilitats identificades són les següents:
CVE-2022-0332 [2]: S’ha identificat un risc d’injecció SQL en el servici web h5p activity, responsable d’obtindre les dades dels intents dels usuaris. Està vulnerabilitat s’ha catalogat com a crítica.
CVE-2022-0335 [3]: La capacitat calendar:manageentries permetia als administradors accedir o modificar qualsevol esdeveniment del calendari, però hauria d’haver-se restringit l’accés als esdeveniments de nivell d’usuari. Està vulnerabilitat s’ha catalogat com a crítica.
CVE-2022-0333 [4]: Comprovacions insuficients de permisos podria causar que els usuaris accediren al seu informe de qualificacions per a cursos en els quals no tenen els permisos requerits de gradereport/user:view. Està vulnerabilitat s’ha catalogat com a mitjana.
CVE-2022-0334 [5]: La funcionalitat de “delete badge alignment” no incloïa la comprovació de tokens necessària per a evitar un risc de Cross-site request forgery (CSRF). Esta vulnerabilitat s’ha catalogat com a mitjana.
Recomanacions
Es recomana actualitzar Moodle a les versions 3.11.5, 3.10.9 o 3.9.12. [6] [7]
Referències
[1] https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-moodle-18
[2] https://moodle.org/mod/forum/discuss.php?d=431099
[3] https://moodle.org/mod/forum/discuss.php?d=431100
[4] https://moodle.org/mod/forum/discuss.php?d=431102
[5] https://moodle.org/mod/forum/discuss.php?d=431103
[6] https://download.moodle.org/
[7] https://download.moodle.org/releases/security/