Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/09/2020
Vulnerabilitats en Moodle
S'han reportat 5 vulnerabilitats, 3 amb severitat alta i 2 baixes, de tipus XSS emmagatzemat, XSS reflectit i escalada de privilegis entre altres.Les vulnerabilitats detectades afecten:
El camp de perfil de l'usuari moodlenetprofile no valida prou les dades introduïdes per a evitar el risc de patir un atac XSS emmagatzemat.
El filtre en el registre de tasques d'administració no valida prou les dades introduïdes per a evitar el risc de patir un atac XSS reflectit.
No es comprova la grandària dels arxius zip en relació a la quota d'usuari disponible abans de descomprimir-los, la qual cosa podria generar una condició de denegació de servei (Dos).
Més informació en l'enllaç següent.
Sistemes Afectats:Des de la versió 3.9,fins a la versió 3.9.1;
Des de la versió 3.8, fins a la versió 3.8.4;
Des de la versió 3.7, fins a la versió 3.7.7;
Des de la versió 3.5, fins a la versió 3.5.13;
versions anteriors no compatibles.
CVE-2020-25627, CVE-2020-25628, CVE-2020-2563, CVE-2020-25629 y CVE-2020-25631.
Solució:Moodle ha publicat diverses actualitzacions, en funció de la versió afectada:
- 3.9.2;
- 3.8.5;
- 3.7.8;
- 3.5.14.
Més informació: