Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/03/2015
Recentment, els responsables de la plataforma Moodle han publicat actualitzacions per a esta, ja que entre altres millores s’esmenen huit vulnerabilitats de seguretat, tres d’estes qualificades com a greus. Les detallem a continuació:
La resta de vulnerabilitats comprenen injecció HTML, elevació de privilegis dels usuaris en el lloc, alliberament d’informació i XSS.
Sistemes Afectats:Estan afectades les versions següents de la plataforma Moodle:
CVE-2015-2268, CVE-2015-2272, CVE-2015-2267, CVE-2015-2269, CVE-2015-2271, CVE-2015-2266, CVE-2015-2270, CVE-2015-2273
Solució:Per a pal·liar les vulnerabilitats es recomana actualitzar la plataforma Moodle a una de les versions següents:
Detall de les vulnerabilitats esmenades (en anglés):
MSA-15-0010: Personal contacts and number of unread messages can be revealed
https://moodle.org/mod/forum/discuss.php?d=307380&parent=1237898
MSA-15-0011: Authentication in mdeploy can be bypassed
https://moodle.org/mod/forum/discuss.php?d=307381&parent=1237899
MSA-15-0012: ReDoS Possible with Convert links to URLs filter
https://moodle.org/mod/forum/discuss.php?d=307382&parent=1237900
MSA-15-0013: Block title not properly escaped and may cause HTML injection
https://moodle.org/mod/forum/discuss.php?d=307383&parent=1237901
MSA-15-0014: Potential information disclosure for the inaccessible courses
https://moodle.org/mod/forum/discuss.php?d=307384&parent=1237902
MSA-15-0015: User without proper permission is able to mark the tag as inappropriate
https://moodle.org/mod/forum/discuss.php?d=307385&parent=1237903
MSA-15-0016: Web services token can be created for user with temporary password
https://moodle.org/mod/forum/discuss.php?d=307386&parent=1237904
MSA-15-0017: XSS in quiz statistics report
https://moodle.org/mod/forum/discuss.php?d=307387&parent=1237905