Corregidas cuatro vulnerabilidades en Moodle

Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

Se han publicado cuatro boletines de seguridad (MSA-17-0004 y MSA-17-0006 al MSA-17-0009), dos de ellos considerados como de gravedad seria y los otros dos como de importancia menor.

El problema que puede ser considerado de mayor gravedad reside en una inyección SQLa través de las preferencias de usuario en Moodle 3.2. El problema podría permitir la ejecución de código arbitrario en Moodle 3.2.1. Afecta a todas las versiones Moodle, aunque en versiones anteriores a la 3.2 solo puede explotarse por administradores a través de servicios web.

También de gravedad alta un cross-site scripting(CVE-2017-2645) en archivos adjuntados como evidencia de aprendizajes anteriores. Afecta a versiones 3.2 a 3.2.1 y 3.1 a 3.1.4.

De gravedad menor, una búsqueda globalpuede permitir a usuarios invitados obtener los nombres de todos los usuarios (CVE-2017-2643). Afecta a versiones 3.2 a 3.2.1. Por último, usuarios registrados pueden presentar una evidencia de aprendizaje previo que incluya un cross-site scripting que se ejecutará por otro usuario que intente editar la misma evidencia (CVE-2017-2644).

Las versiones 3.2.2, 3.1.5, 3.0.9 y 2.7.19 solucionan todas las vulnerabilidades. Se encuentran disponibles para su descarga desde la página oficial de Moodle.

Security Announcements

Antonio Ropero

Twitter: @aropero