CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

26/11/2012

Múltiples vulnerabilitats en Moodle

S’han publicat set butlletins de seguretat per a Moodle que solucionen vulnerabilitats que podrien permetre la revelació d’informació sensible, segrest de sessió, eludir restriccions de seguretat, i realitzar atacs XSS.

Risc: Alt

Moodle és una aplicació web del tipus LMS (Learning Management System), escrita en PHP que s’utilitza per a la gestió de cursos en línia. Està publicada sota llicència GNU GPL i ha sigut traduïda a més de 91 idiomes. A més de la comunicació entre professorat i alumnes, disposa de distintes ferramentes, com la pujada de fitxers, calendari i fòrums.

Els set butlletins de seguretat de Moodle que s’han donat a conéixer són els següents:

La majoria d’estes vulnerabilitats afecten les versions 2.1.x, 2.2.x i 2.3.x de Moodle. El butlletí MSA-12-0058 no afecta la branca 2.1, mentres que el MSA-12-0063 únicament afecta la 2.3. La branca 1.9 també es veu involucrada en l’error reportat en el butlletí MSA-12-0060.

Sistemes Afectats:

Moodle LMS versions 2.3 fins a la 2.3.2+.
Moodle LMS versions 2.2 fins a la 2.2.5+.
Moodle LMS versions 2.1 fins a la 2.1.8+.
Moodle LMS versions 1.9 fins a la 1.9.18+.

Referències:

CVE-2012-5471, CVE-2012-5472, CVE-2012-5473, CVE-2012-5475, CVE-2012-5479, CVE-2012-5480, CVE-2012-5481

Solució:

Actualitzar a les últimes versions disponibles en la pàgina oficial.

Notes:

MSA-12-0057: Access issue through repository
MSA-12-0058: Possible form data manipulation issue
MSA-12-0059: Information leak in Database activity module
MSA-12-0060: Cross-site scripting vulnerability in YUI2
MSA-12-0061: Remote code execution through Portfolio API
MSA-12-0062: Information leak in Database activity module
MSA-12-0063: Information leak in Check Permissions page
Hispasec: Una al día

Font: Hispasec una-al-día

CSIRT-CV