Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/05/2011
S'han reportat diverses vulnerabilitats en Moodle, que podrien ser explotades per usuaris maliciosos per a botar-se determinades restriccions de seguretat i per a realitzar atacs de tipus cross-site scripting.
1) Hi ha un error en la manipulació dels permisos d'accés d'un processador (processor), quan revisa els informes d'un grup a través de la pàgina de revisió de qüestionaris. Aquesta vulnerabilitat pot ser explotada per a veure informes de tots els estudiants, que d'una altra forma estaria restringit.
2) Un error en user/profile.php, quan es mostra la pàgina del perfil complet, que podria portar a ensenyar l'adreça de correu de l'usuari/ària a altres usuaris que no pertanguen al seu mateix curs.
Aquesta vulnerabilitat no afecta les versions 1.9.X.
3) Una determinada entrada sense especificar no se saneja correctament abans de ser tornada a l'usuari/ària. Açò pot ser aprofitat per a executar codi HTML i script arbitrari en la sessió del navegador, dins del context del lloc afectat.
Aquesta vulnerabilitat no afecta les versions 2.0.X.
Sistemes Afectats:Moodle 1.9.x
Moodle 2.0.x
None
Solució:Actualitzeu a la versió 1.9.12 o 2.0.3.
Notes:El proveedor reconeix a:
1) Claire Browne
2) Petr Skoda
3) Panagiotis Petasis
Avis original:
MSA-11-0013:
http://moodle.org/mod/forum/discuss.php?d=175590
MSA-11-0014:
http://moodle.org/mod/forum/discuss.php?d=175591
MSA-11-0015:
http://moodle.org/mod/forum/discuss.php?d=175592