CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

05/06/2015

Publicats diversos butlletins de seguretat en Moodle

S’han publicat huit butlletins de seguretat de diversa criticitat que afecten les versions actuals de Moodle.

Risc: Alt

El primer butlletí publicat, el MSA-15-0018, afig una comprovació de XSS en els mòduls d’avaluació d’exàmens.

El segon butlletí, MSA-15-0019, limita les redireccions externes que es poden realitzar per a evitar una possible pesca a l’usuari.

Seguim amb el butlletí MSA-15-0020, considerat greu, que soluciona un problema de revelació d’informació sobre els usuaris en l’enllaç de confirmació de compte.

El butlletí MSA-15-0021 corregix un error pel qual qualsevol usuari no autenticat es pot subscriure a regles de monitorització d’esdeveniments globals.

A continuació tenim un altre error considerat greu en el butlletí MSA-15-0022, que resol un possible XSS a l’utilitzar els Web Services que proporciona Moodle per a comunicar-se amb aplicacions externes.

El següent butlletí, amb codi MSA-15-0023, soluciona un error pel qual un usuari suspés podria arribar a iniciar sessió en el sistema.

Seguim amb el butlletí MSA-15-0024, que corregix un error pel qual un usuari la participació del qual en un curs ha sigut suspesa podia continuar veient detalls de l’estructura del curs.

Per a finalitzar tenim el butlletí MSA-15-0025, que resol un error pel qual un usuari amb el privilegi de pujar fitxers revocat podia continuar pujant fitxers utilitzant una funció obsoleta en els Web Services.

Sistemes Afectats:

Totes les versions de Moodle, tant les actuals com versions anteriors no suportades.

Referències:

CVE-2015-3174, CVE-2015-3175, CVE-2015-3176, CVE-2015-3177, CVE-2015-3178, CVE-2015-3179, CVE-2015-3180, CVE-2015-3181

Solució:

Moodle ha publicat les versions 2.9, 2.8.6, 2.7.8 i 2.6.11 de la seua ferramenta, que solucionen estes vulnerabilitats.

Notes:

INCIBE - MSA-15-0018: Quiz manual-grading is an XSS risk, but does not declare that
INCIBE
- MSA-15-0019: Possible phishing when redirecting to external site using referer header
INCIBE
- MSA-15-0020: User fullname disclosure through account confirmation link
INCIBE
- MSA-15-0021: Any authenticated user can subscribe to site-wide event monitor rules
INCIBE
- MSA-15-0022: Potential XSS risk when returning text entered by student from Web Services
INCIBE
- MSA-15-0023: Suspended user is able to login when confirming email
INCIBE - MSA-15-0024: User with suspended enrolment can see sections in the navigation tree
INCIBE
- MSA-15-0025: Capability to manage own files is not respected in Web Services

Font: Incibe

CSIRT-CV