Moodle ha publicado 13 nuevas alertas de seguridad en las que se corrigen otras tantas vulnerabilidades con diversos efectos, desde los habituales XSS hasta inyección de código. Se ven afectadas todas las ramas soportadas (2.7, 2.6, 2.5 y 2.4) y anteriores, ya fuera de mantenimiento de seguridad.
Moodle, es conocida y ampliamente utilizada como plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.
12 de los 13 problemas anunciados son consideradas como serios, con CVE asociados del CVE-2014-3541 al CVE-2014-3553. Se incluyen diversas vulnerabilidades de Cross Site Scripting, XXE (XML External Entity) y de inyección de código.
Por otra parte un fallo en la autenticación Shibboleth podría permitir a un usuario tomar control sobre las sesiones de otros usuarios. Una vulnerabilidad podría permitir la obtención de nombres de usuario y cursos mediante la manipulación de «/user/edit.php» y otro problema en los foros podría permitir la escritura en grupos a los que no se tiene acceso.
Se han publicado las versiones 2.7.1, 2.6.4, 2.5.7 y 2.4.11 que solucionan todos los problemas y pueden descargarse desde su página oficial
http://download.moodle.org/
Más información:
MSA-14-0020: Identity confusion in Shibboleth authentication
https://moodle.org/mod/forum/discuss.php?d=264261
MSA-14-0021: Code injection in Repositories
https://moodle.org/mod/forum/discuss.php?d=264262
MSA-14-0022: XML External Entity vulnerability in LTI module
https://moodle.org/mod/forum/discuss.php?d=264263
MSA-14-0023: XML External Entity vulnerability in IMSCC and IMSCP
https://moodle.org/mod/forum/discuss.php?d=264264
MSA-14-0024: Cross-site scripting vulnerability in profile field
https://moodle.org/mod/forum/discuss.php?d=264265
MSA-14-0025: Remote code execution in Quiz
https://moodle.org/mod/forum/discuss.php?d=264266
MSA-14-0026: Information leak in profile and notes pages
https://moodle.org/mod/forum/discuss.php?d=264267
MSA-14-0027: Forum group posting issue
https://moodle.org/mod/forum/discuss.php?d=264268
MSA-14-0028: Cross-site scripting possible in external badges
https://moodle.org/mod/forum/discuss.php?d=264269
MSA-14-0029: Cross-site scripting vulnerability in exception dialogues
https://moodle.org/mod/forum/discuss.php?d=264270
MSA-14-0030: Cross-site scripting through logs of failed logins
https://moodle.org/mod/forum/discuss.php?d=264271
MSA-14-0031: Cross-site scripting though scheduled task error messages
https://moodle.org/mod/forum/discuss.php?d=264272
MSA-14-0032: Cross-site scripting in advanced grading methods
https://moodle.org/mod/forum/discuss.php?d=264273
Antonio Ropero
antonior@hispasec.com

Twitter: @aropero

Compártelo: