Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/09/2019
Les vulnerabilitats detectades, podrien deixar exposat el token d'accés en usuaris que utilitzaren un dispositiu mòbil. Una altra de les vulnerabilitats trbades podria permetre a un usuari mal intencionat la injecció de codi en algunes plantilles.
Pot consultar el detall de l'alerta en el següent enllaç.
Sistemes Afectats:Versions anteriors a la 3.7.2, 3.6.6 y 3.5.8
Referències:CVE-2019-14827, CVE-2019-14830,CVE-2019-14828, CVE-2019-14829, CVE-2019-14831
Solució:Actualitzar a les versions 3.7.2, 3.6.6 y 3.5.8.
Notes:MSA-19-0018: JavaScript injection possible in some Mustache templates via recursive rendering from contexts
MSA-19-0019: Course creation did not check the creator's role assignment capability before automatically assigning them as a teacher in the course
MSA-19-0020: Python Machine Learning dependency versions bumped
MSA-19-0021: Activity :addinstance capabilities were not respected when creating a course in single activity format
MSA-19-0022: Open redirect in the mobile launch endpoint could be used to expose mobile access tokens
MSA-19-0023: Forum subscribe link contained an open redirect if forced subscription mode was enabled