domingo, 26 de mayo de 2013

Múltiples vulnerabilidades en Moodle


Moodle ha publicado varios boletines de seguridad en los que corrigen un total de cinco vulnerabilidades. Se ven afectadas las versiones 2.2.9, 2.4.3 y 2.3.6 y anteriores.

Moodle, acrónimo de Modular Object-Oriented Dynamic Learning Environment (en español, Entorno de Aprendizaje Dinámico, Orientado a Objetos y Modular). Es una plataforma educativa de código abierto escrita en PHP, que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

Los boletines de seguridad van desde MSA-13-0020 hasta el MSA-13-0024 y las vulnerabilidades que corrigen son las identificadas como CVE-2013-1835, CVE-2013-1836, CVE-2013-2079, CVE-2013-2080 y CVE-2013-2081. A grandes rasgos, son las siguientes:

  • Un error al no limpiar correctamente los elementos de un formulario.
        
  • Una falta de validación de los comentarios que podría permitir que los usuarios puedan ver un comentario no permitido.
        
  • Un error al manejar los sitios de información registrados podría permitir que la información sea enviada a un sitio aunque no esté marcada.
        
  • Un error en el método 'showtotalsifcontainhidden' en el generador de calificaciones podría ser aprovechado para mostrar valores incorrectos.
         
  • Un error al controlar las descargar de ficheros 'zip' podría permitir a un usuario descargar ficheros enviados por otros usuarios.


Los errores han sido corregidos en las versiones 2.5, 2.4.4, 2.3.7 y 2.2.10 y pueden ser descargadas desde su página oficial

Más información

Moodle security news

Official Moodle git projects

  

Jose Ignacio Palacios Ortega