Detectades múltiples vulnerabilitats en Moodle
S'han descobert 6 vulnerabilitats en la plataforma Moodle, 3 de criticitat alta i 3 de criticitat baixa.
Risc: Crític
Les vulnerabilitats qualificades de crítiques podrien fer que:
- Usuaris amb la capacitat de login as other users (com a administradors) podrien accedir als quadres de comandament d'altres usuaris.
- No es comprovara correctament els permisos abans de carregar la informació d'esdeveniments en la finestra emergent modal d'edició d'esdeveniments del calendari, de manera que els usuaris no convidats que hagen iniciat sessió podrien veure esdeveniments de calendari no autoritzats.
- Els usuaris podrien assignar-se un rol superior al que els correspon dins dels cursos o continguts als quals s'accedeix a través de LTI (Learning Tools Interoperabilitat).
Sistemes Afectats:
- MSA-19-0004 i MSA-19-0007: 3.6 fins a 3.6.2, 3.5 fins a 3.5.4, 3.4 fins a 3.4.7, 3.1 fins a 3.1.16 i versions anteriors no suportades.
- MSA-19-0005: 3.6 fins a 3.6.2, 3.5 fins a 3.5.4 i 3.4 fins a 3.4.7.
- MSA-19-0006: 3.6 fins a 3.6.2, 3.5 fins a 3.5.4, 3.4 fins a 3.4.7 i versions anteriors no suportades.
- MSA-19-0008: 3.6 fins a 3.6.2 i 3.5 fins a 3.5.4.
- MSA-19-0009: 3.6 fins a 3.6.2.
Referències: CVE-2019-3847,CVE-2019-3848,CVE-2019-3849,CVE-2019-3850, CVE-2019-3851,CVE-2019-3852.
Solució:S'han posat a la disposició dels usuaris les actualitzacions següents, en funció de la vulnerabilitat:
- MSA-19-0004 y MSA-19-0007: 3.6.3, 3.5.5, 3.4.8 y 3.1.17
- MSA-19-0005 y MSA-19-0006: 3.6.3, 3.5.5 y 3.4.8
- MSA-19-0008: 3.6.3 y 3.5.5
- MSA-19-0009: 3.6.3
Notes: MSA-19-0004: "Log in as" functionality exposed to JavaScript risk on other users' Dashboards
MSA-19-0005: Logged in users could view all calendar events
MSA-19-0006: Users could elevate their role when accessing the LTI tool on a provider site
MSA-19-0007: Stored HTML in assignment submission comments allowed links to be opened directly
MSA-19-0008: Secure layout contained an insecure link in Boost theme
MSA-19-0009: get_with_capability_join/get_users_by_capability not aware of context freezing