Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

28/05/2013

Múltiples vulnerabilitats en Moodle

Moodle ha publicat diversos butlletins de seguretat en què es corregixen un total de cinc vulnerabilitats.

Moodle, acrònim de Modular Object-Oriented Dynamic Learning Environment (entorn d’aprenentatge dinàmic, orientat a objectes i modular). És una plataforma educativa de codi obert escrita en PHP, que permet els educadors crear i gestionar tant usuaris com cursos de modalitat d'aprenentatge electrònic (e-learning). A més, proporciona ferramentes per a la comunicació entre formadors i alumnes.

Els butlletins de seguretat van des de MSA-13-0020 fins al MSA-13-0024 i les vulnerabilitats que corregixen són les identificades com CVE-2013-1835, CVE-2013-1836, CVE-2013-2079, CVE-2013-2080 i CVE-2013-2081. En grans trets, són les següents:

• Un error en no netejar correctament els elements d’un formulari.
• Una falta de validació dels comentaris que podria permetre que els usuaris puguen veure un comentari no permés. 
• Un error en manejar els llocs d’informació registrats podria permetre que la informació siga enviada a un lloc encara que no estiga marcada.
• Un error en el mètode 'showtotalsifcontainhidden' en el generador de qualificacions podria ser aprofitat per a mostrar valors incorrectes.
• Un error en controlar les descàrregues de fitxers zip podria permetre a un usuari descarregar fitxers enviats per altres usuaris.

 

Sistemes Afectats:

Es veuen afectades les versions 2.2.9, 2.4.3 i 2.3.6, i anteriors.

Referències:

CVE-2013-1835, CVE-2013-1836, CVE-2013-2079, CVE-2013-2080 y CVE-2013-2081

Solució:

Els errors han sigut corregits en les versions 2.5, 2.4.4, 2.3.7 i 2.2.10 i estes poden ser descarregades des de la seua pàgina oficial 

Notes:

Moodle security news

 https://moodle.org/security/

 

CSIRT-CV