Moodle ha publicado ocho alertas de seguridad en las que se corrigen otras tantas vulnerabilidades con diversos efectos, desde denegaciones de servicio hasta los habituales cross-site scripting y cross-site request forgery. Se ven afectadas todas las ramas soportadas 2.8, 2.7, 2.6 y anteriores versiones ya fuera de soporte.
Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.
Se han publicado ocho boletines de seguridad (del MSA-15-0001 al MSA-14-0008), y tienen asignados los identificadores comprendidos del CVE-2015-0211 al CVE-2015-0218. Cuatro de ellos son considerados como serios y el resto como de gravedad menor. Las vulnerabilidades podrían permitir ataques Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), denegaciones de servicio, forzar la desconexión o revelar información.
Las versiones 2.8.2, 2.7.4 y 2.6.7 solucionan todas las vulnerabilidades. Se encuentran disponibles para su descarga desde la página oficial de Moodle.
Más información:
Moodle downloads
MSA-15-0001: Insufficient access check in LTI module
MSA-15-0002: XSS vulnerability in course request pending approval page
MSA-15-0003: CSRF possible in Glossary module
MSA-15-0004: Information leak through messaging functions in web-services
MSA-15-0005: Insufficient access check in calendar functions in web-services
MSA-15-0006: Capability to grade Lesson module is missing XSS bitmask
MSA-15-0007: ReDoS possible in the multimedia filter
MSA-15-0008: Forced logout through Shibboleth authentication plugin
Antonio Ropero
Twitter: @aropero
