Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/11/2019
Vulnerabilitats en Moodle
S'han publicat sis noves vulnerabilitats en aquesta plataforma. Les més perilloses podrien provocar atacs de tipus Cross Site Scripting (XSS) i/o comprometre el compte.Risc: Alt
De les sis fallades detectades, quatre són de criticitat baixa. La resta són de categoria important.
La vulnerabilitat de Cross Site Scripting (XSS) podria donar-se en alguns missatges d'error. D'altra banda, alguns inicis de sessió d’OAuth 2, podrien comprometre els comptes.
Les versions afectades són aquelles que ja no tenen suport i:
- de la 3.7 a la 3.7.2
- de la 3.6 a la 3.6.6
- de la 3.5 a la 3.5.8
CVE-2019-14879, CVE-2019-14880, CVE-2019-14881, CVE-2019-14882, CVE-2019-14883, CVE-2019-14884
Solució:Actualitzar a l'última versió disponible de Moodle.
Notes:- MSA-19-0024: Assigned Role in Cohort did not un-assign on removal
- MSA-19-0025: Add additional verification for some OAuth 2 logins to prevent account compromise
- MSA-19-0026: Blind XSS reflected in some locations where user email is displayed
- MSA-19-0027: Open redirect in Lesson edit page
- MSA-19-0028: Email media URL tokens were not checking for user status
- MSA-19-0029: Reflected XSS possible from some fatal error messages
Font: Incibe-cert