Se han publicado siete boletines de seguridad para Moodle que solucionan vulnerabilidades que podrían permitir la revelación de información sensible, secuestro de sesión, eludir restricciones de seguridad, y realizar ataques XSS.
Moodle es una aplicación web del tipo LMS (Learning Management System), escrita en PHP que se utiliza para la gestión de cursos en línea. Está publicada bajo licencia GNU GPL y ha sido traducida a más de 91 idiomas. Además de la comunicación entre profesorado y alumnos, dispone de distintas herramientas, como la subida de ficheros, calendario y foros.
Los siete boletines de seguridad de Moodle que se han dado a conocer son los siguientes:
-
MSA-12-0057(CVE-2012-5471): cuando un usuario inicia sesión en Dropbox a través del repositorio de Moodle, dicha sesión permanece abierta hasta que se cierra el navegador a pesar de que el usuario se haya desconectado. Esto podría permitir que otros usuarios pudiesen acceder y utilizar los datos del primero. Ha sido descubierta por Alexander Bias.
-
MSA-12-0058(CVE-2012-5472): existe un fallo en ‘formslib.php‘ que podría permitir a un usuario remoto autenticado eludir restricciones de acceso modificando datos de un campo de un formulario ya enviado. El fallo ha sido reportado por Rossiani Wijaya.
-
MSA-12-0059(CVE-2012-5473): un error de falta de filtrado en el módulo ‘Database activity‘podría permitir a un usuario ver la información de entradas creadas por miembros de otros grupos a los que él no pertenece a través de una búsqueda avanzada. Richard Meyer ha descubierto esta vulnerabilidad.
-
MSA-12-0060 Petr Škoda Jenny Donnelly han descubierto un error de falta de comprobación en la librería YUI 2 que podría permitir llevar a cabo ataques Cross-Site Scripting y ejecutar código HTML y javascript arbitrario en el navegador de un usuario en el contexto de un sitio afectado.
-
MSA-12-0061(CVE-2012-5479): el plugin ‘Portfolio‘ podría permitir la carga local de ficheros (Local File Inclusion, LFI) y ejecución de comandos de forma remota (RCE) a través de la respuesta de una llamada a la API especialmente manipulada. Cristóbal Leiva es el descubridor de este error.
-
MSA-12-0062(CVE-2012-5480): Tabitha Roder ha descubierto un fallo en el módulo ‘Database activity‘ de Moodle que podría permitir a cualquier usuario, incluso a los invitados, leer las entradas de otros usuarios.
- MSA-12-0063(CVE-2012-5481): Existe un fallo que permite revelar información en la página ‘Check Permissions‘, al permitir que usuarios no administradores pudiesen ver los roles de todos los usuarios de la plataforma. ha sido descubierto por Jody Steele.
La mayoría de estas vulnerabilidades afectan a las versiones 2.1.x, 2.2.x y 2.3.x de Moodle. El boletín MSA-12-0058 no afecta a la rama 2.1, mientras que el MSA-12-0063 únicamente atañe a la 2.3. La rama 1.9 también se ve involucrada en el error reportado en el boletín MSA-12-0060.
Se encuentra disponible, en la página oficial, la última versión de Moodle que corrige las vulnerabilidades anteriores.
Más información:
MSA-12-0057: Access issue through repository
MSA-12-0058: Possible form data manipulation issue
MSA-12-0059: Information leak in Database activity module
MSA-12-0060: Cross-site scripting vulnerability in YUI2
MSA-12-0061: Remote code execution through Portfolio API
MSA-12-0062: Information leak in Database activity module
MSA-12-0063: Information leak in Check Permissions page
Juan José Ruiz
