Moodle ha publicado 15 alertas de seguridad en las que se corrigen vulnerabilidades con diversos efectos, desde los habituales XSS hasta inyección de código. Se ven afectadas todas las ramas soportadas 2.7, 2.6, 2.5 y anteriores versiones ya fuera de soporte.
Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.
Se han publicado 15 boletines de seguridad (del MSA-14-0035 al MSA-14-0049), entre ellos seis considerados como serios. Estos podían permitir ataques Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), revelar información y eludir restricciones de seguridad.
Los identificadores asignados comprenden del CVE-2014-7830 al CVE-2014-7838 y del CVE-2014-7845 al CVE-2014-7848, aunque un par de vulnerabilidades aun está pendientes de asignación.
Las versiones 2.8, 2.7.3, 2.6.6 y 2.5.9 solucionan todas las vulnerabilidades. Se encuentran disponibles para su descarga desde la página oficial de Moodle.
Más información:
Moodle downloads
MSA-14-0035: Headers not added to some AJAX scripts
MSA-14-0036: XSS in mapcourse script in Feedback module
MSA-14-0037: Weak temporary password generation
MSA-14-0038: Hidden grade information exposed by web services
MSA-14-0039: Insufficient access check in LTI module
MSA-14-0040: Information leak in Database activity module
MSA-14-0041: Lack of capability check in tags list access
MSA-14-0042: Lack of access check in IP lookup functionality
MSA-14-0043: Lack of group check in web service for Forum
MSA-14-0044: Hardware path disclosed in the error message
MSA-14-0045: XSS file upload possible through web service
MSA-14-0046: CSRF in LTI module
MSA-14-0047: Possible data loss in Wiki activity
MSA-14-0048: CSRF in forum tracking toggle
MSA-14-0049: Possible to print arbitrary message to user by modifying URL
Juan Sánchez
Deja un comentario