Moodle
ha publicado tres boletines de seguridad en los que corrigen otras tantas vulnerabilidades.
Se ven afectadas las versiones 2.6, 2.5 a 2.5.4, 2.4 a 2.4.7, 2.3 a 2.3.10 y anteriores.
Moodle, es conocida y ampliamente
utilizada como plataforma educativa de código abierto que permite a los
educadores crear y gestionar tanto usuarios como cursos de modalidad
e-learning. Además proporciona herramientas para la comunicación entre
formadores y alumnos.
La primera
vulnerabilidad (con CVE-2014-0008)
podría permitir a un usuario con permisos administrativos visualizar otras
contraseñas administrativas, debido a que los cambios de contraseñas se graban
en el 'Config Changes Report' en
texto plano.
Un segundo problema
(con CVE-2014-0009)
podría permitir a usuarios con privilegios 'login
as' pero sin permisos para acceder a todos los grupos podría acceder a
otros grupos mediante el uso de URL específicamente creadas.
Por último, (con CVE-2014-0010)
una vulnerabilidad en el script '/user/profile/index.php'
debido a que no valida adecuadamente las entradas facilitadas por los usuarios,
lo que podría permitir la construcción de ataques cross-site request forgery.
Se han publicado las versiones 2.3.11,
2.4.8, 2.5.4 y 2.6.1 para solucionar estos problemas y pueden ser descargadas
desde su página oficial:
Más información:
MSA-14-0003: Cross-site request forgery
vulnerability in profile fields
MSA-14-0002: Group constraints lacking in
"login as"
MSA-14-0001: Config passwords visibility issue
Antonio Ropero
Twitter: @aropero
