Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
10/02/2015
Escalada de directoris en Moodle
S’ha detectat una vulnerabilitat d’escalada de directoris que podria permetre a un atacant obtindre informació sensible del sistema.Risc: Alt
El problema residix en que el paràmetre "file" no neteja adequadament les entrades de l’usuari, la qual cosa podria permetre introduir peticions de cadenes clàssiques d’escalada de directoris ('../'). D’esta manera l’atacant podria tindre accés a arxius arbitraris del sistema situats fora del directori de Moodle. Es veuen afectats tots els sistemes operatius, però els sistemes Windows són especialment vulnerables.
Sistemes Afectats:Es veuen afectades totes les branques suportades 2.8, 2.7, 2.6 i versions anteriors ja fora de suport.
Referències:CVE-2015-1493
Solució:Actualitzar a les versions 2.8.3, 2.7.5 i 2.6.8 o superiors.
Notes:MSA-15-0009: Directory Traversal Attack possible through some files serving JS
Font: Hispasec una-al-dia