Moodle ha publicado varios boletines de seguridad en los que corrigen un total de cinco vulnerabilidades. Se ven afectadas las versiones 2.2.9, 2.4.3 y 2.3.6 y anteriores.
Moodle, acrónimo de Modular Object-Oriented Dynamic Learning Environment (en español, Entorno de Aprendizaje Dinámico, Orientado a Objetos y Modular). Es una plataforma educativa de código abierto escrita en PHP, que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.
Los boletines de seguridad van desde MSA-13-0020 hasta el MSA-13-0024 y las vulnerabilidades que corrigen son las identificadas como CVE-2013-1835, CVE-2013-1836, CVE-2013-2079, CVE-2013-2080 y CVE-2013-2081. A grandes rasgos, son las siguientes:
- Un error al no limpiar correctamente los elementos de un formulario.
- Una falta de validación de los comentarios que podría permitir que los usuarios puedan ver un comentario no permitido.
- Un error al manejar los sitios de información registrados podría permitir que la información sea enviada a un sitio aunque no esté marcada.
- Un error en el método ‘showtotalsifcontainhidden‘ en el generador de calificaciones podría ser aprovechado para mostrar valores incorrectos.
- Un error al controlar las descargar de ficheros ‘zip‘ podría permitir a un usuario descargar ficheros enviados por otros usuarios.
Los errores han sido corregidos en las versiones 2.5, 2.4.4, 2.3.7 y 2.2.10 y pueden ser descargadas desde su página oficial
Más información
Moodle security news
Official Moodle git projects
Jose Ignacio Palacios Ortega
El MOODLE es como el FLASH, un pozo sin fondo de VULNERABILIDADES. Yo no lo pongo en mis sistemas, ni pagándome.
Ningún sistema es perfecto. Es fácil criticar sin aporta soluciones. Moodle es una de las mejores herramientas gratuitas del mercado.