Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
23/01/2014
Diverses vulnerabilitats en Moodle
Moodle ha publicat tres butlletins de seguretat en què corregixen altres tantes vulnerabilitats.Moodle, és coneguda i àmpliament utilitzada com a plataforma educativa de codi obert que permet als educadors crear i gestionar tant usuaris com cursos de modalitat e-learning. A més proporciona ferramentes per a la comunicació entre formadors i alumnes.
La primera vulnerabilitat (amb CVE-2014-0008) podria permetre a un usuari amb permisos administratius visualitzar altres contrasenyes administratives, pel fet que els canvis de contrasenyes es graven en el 'Config Changes Report' en text pla.
Un segon problema (amb CVE-2014-0009) podria permetre a usuaris amb privilegis 'login as' però sense permisos per a accedir a tots els grups podria accedir a altres grups per mitjà de l’ús de URL específicament creades.
Finalment, (amb CVE-2014-0010) una vulnerabilitat en el script '/user/profile/index.php' pel fet que no valida adequadament les entrades facilitades pels usuaris, la qual cosa podria permetre la construcció d’atacs cross-site request forgery.
Sistemes Afectats:Són afectades les versions 2.6, 2.5 a 2.5.4, 2.4 a 2.4.7, 2.3 a 2.3.10 i anteriors.
Referències:CVE-2014-0008, CVE-2014-0009, CVE-2014-0010
Solució:S’han publicat les versions 2.3.11, 2.4.8, 2.5.4 i 2.6.1 per a solucionar estos problemes i poden ser descarregades des de la seua pàgina oficial
Notes:MSA-14-0003: Cross-site request forgery vulnerability in profile fields
MSA-14-0002: Group constraints lacking in "login as"
MSA-14-0001: Config passwords visibility issue
Hispasec una-al-dia