• Saltar al contenido
  • Saltar a la barra lateral principal
  • Saltar al pie de página
  • Inicio
  • Auditoría
  • Eventos
  • Formación
  • General
  • Malware
  • Vulnerabilidades
  • Un blog de

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Múltiples vulnerabilidades en Moodle

Múltiples vulnerabilidades en Moodle

25 noviembre, 2016 Por Hispasec Deja un comentario

Moodle ha publicado cuatro alertas de seguridad en las que se corrigen otras tantas vulnerabilidades que podrían permitir el acceso no autorizado a archivos o a información sensible.
Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.
Se han publicado cuatro boletines de seguridad (del MSA-16-0023 al MSA-14-0026), y tienen asignados los identificadores CVE-2016-8642 al CVE-2016-8644. Tres de ellos considerados como de gravedad menor y uno de riego serio.
El más grave de los problemas afectacuando la depuración está activa, los errores de excepción de los servicios web podrán contener datos privados. Otros fallos residen en un error en la función de chequeo que puede permitir a los usuarios ver las notas del curso a las que no tiene acceso a visualizar. En la interfaz web de Moodle los usuarios no administradores con capacidad de editar a otros usuarios no pueden editar la información de los administradores, sin embargo esto no se respeta en uno de los servicios web. Por último, un usuario puede acceder a la URL de un archivo incluido en una pregunta para la que no tiene acceso y descargarlo usando el identificador de una pregunta para la que sí tenga acceso.
Se ven afectadas las versiones 3.1 a 3.1.2, 3.0 a 3.0.6, 2.9 a 2.9.8, 2.8 a 2.8.12, 2.7 a 2.7.16, y versiones anteriores ya fuera de soporte.
Las versiones 3.1.3, 3.0.7, 2.9.9 y 2.7.17 solucionan todas las vulnerabilidades. Se encuentran disponibles para su descarga desde la página oficial de Moodle.
http://download.moodle.org/
Más información:
Security Announcements
https://moodle.org/security/
MSA-16-0026: When debugging is enabled, error exceptions returned from webservices could contain private data.
https://moodle.org/mod/forum/discuss.php?d=343278
MSA-16-0025: Capability to view course notes is checked in the wrong context
https://moodle.org/mod/forum/discuss.php?d=343277
MSA-16-0024: Non-admin site managers may accidentally edit admins via web services
https://moodle.org/mod/forum/discuss.php?d=343276
MSA-16-0023: Question engine allows access to files that should not be available
https://moodle.org/mod/forum/discuss.php?d=343275
Antonio Ropero
antonior@hispasec.com

Twitter: @aropero

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Archivado en: Vulnerabilidades Etiquetado como: Moodle

Interacciones del lector

Deja un comentario Cancelar respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral primaria

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

  • E-mail
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Populares de UAD

  • Actualizaciones para múltiples dispositivos Cisco
  • Vulnerabilidad crítica en Wordpress pasa desapercibida durante más de 6 años
  • 2,7 millones de grabaciones de pacientes suecos expuestas en un servidor web sin contraseña
  • WinRAR tarda 19 años en corregir una vulnerabilidad
  • Las 25 peores contraseñas del 2018

Entradas recientes

  • WinRAR tarda 19 años en corregir una vulnerabilidad
  • Actualizaciones para múltiples dispositivos Cisco
  • Vulnerabilidad crítica en WordPress pasa desapercibida durante más de 6 años
  • 2,7 millones de grabaciones de pacientes suecos expuestas en un servidor web sin contraseña
  • Fuga masiva de datos personales en India: 6.7 millones de usuarios afectados.
  • Una nueva familia de malware para MacOs pasa desapercibida al disfrazarse de un ejecutable de Windows
  • Nueva campaña de Phishing contra Facebook

Footer

Una al Día

Una-al-día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • WinRAR tarda 19 años en corregir una vulnerabilidad
  • Actualizaciones para múltiples dispositivos Cisco
  • Vulnerabilidad crítica en WordPress pasa desapercibida durante más de 6 años
  • 2,7 millones de grabaciones de pacientes suecos expuestas en un servidor web sin contraseña
  • Fuga masiva de datos personales en India: 6.7 millones de usuarios afectados.

Etiquetas

Apple Cisco D-Link Facebook Filtración Google iOS Koodous linux malware Microsoft Microsoft Edge MongoDB Moodle Mozilla mySQL Nagios Netgear NetWeaver NVIDIA ONTSI OpenOffice OpenSSH OpenSSL Opera Oracle OS X Pharming Phishing Photoshop PHP PostgreSQL Pwn2Own QuickTime ransomware RAT Red Hat safari Squid vulnerabilidad vulnerabilidades vulnerability Windows WordPress XSS

Copyright © 2019 · Hispasec

Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio asumiremos que estás de acuerdo.Vale