lunes, 20 de marzo de 2017

Múltiples vulnerabilidades en Moodle


Desde SISTEMAS INFOMÁTICOS CANARIOS apoyamos la educación y hoy nos hacemos eco de una noticia publicada por el CERTSI (Capacidad de Respuesta a incidentes de Seguridad de la Información del Ministerio de Energía, Turismo y Agenda Digital y del Ministerio del Interior)



Múltiples vulnerabilidades en Moodle
Fecha de publicación:
20/03/2017
Importancia:
4 - Alta
Recursos afectados:
Las siguientes versiones de Moodle se ven afectadas por alguna o varias de las vulnerabilidades descritas:

Versiones 3.2 hasta la  3.2.1
Versiones  3.1 hasta la 3.1.4
Versiones  3.0 hasta la 3.0.8,
Versiones  2.7.0 hasta la 2.7.18
Descripción:
Se han publicado varias vulnerabilidades que afectan a la plataforma Moodle, una de las cuales podría permitir la ejecución de código remota.

Solución:
Actualizar a las versiones 3.2.2 y 3.1.5 que solucionan las vulnerabilidades. En caso de ser necesario el uso de versiones 3.0.X o 2.7.X, la recomendación es actualizar a 3.0.9 o 2.7.19.

Detalle:
De las cuatro vulnerabilidades reportadas, dos son de criticidad baja y otras dos son de criticidad alta, cuyo detalle es el siguiente:

Ejecución remota de código: A través de una inyección SQL por parte de un usuario registrado en el interfaz web de la versión 3.2.1 se puede realizar una ejecución remota de código. De forma similar se podría realizar esa inyección por parte de administradores a través de los servicios web de versiones anteriores.
XSS en adjuntos de pruebas de cursos anteriores: Cuando los archivos adjuntos como pruebas de cursos anteriores se visualizan con usuarios diferentes al que lo subió, no se fuerza su descarga, lo que hace que se abran en sus sesiones de Moodle actual.

Leer más

No hay comentarios :

Publicar un comentario

Gracias por su comentario. En breve será revisado y publicado.