Múltiples vulnerabilidades en Moodle
Fuente: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-moodle-4
Recursos afectados:
Se han visto afectadas las siguientes versiones, según la vulnerabilidad:
- MSA-19-0004 y MSA-19-0007: 3.6 hasta 3.6.2, 3.5 hasta 3.5.4, 3.4 hasta 3.4.7, 3.1 hasta 3.1.16 y versiones anteriores no soportadas.
- MSA-19-0005: 3.6 hasta 3.6.2, 3.5 hasta 3.5.4 y 3.4 hasta 3.4.7
- MSA-19-0006: 3.6 hasta 3.6.2, 3.5 hasta 3.5.4, 3.4 hasta 3.4.7 y versiones anteriores no soportadas.
- MSA-19-0008: 3.6 hasta 3.6.2 y 3.5 hasta 3.5.4
- MSA-19-0009: 3.6 hasta 3.6.2
Descripción:
Se han descubierto 6 vulnerabilidades en la plataforma Moodle, 3 de criticidad alta y 3 de criticidad baja.
Solución:
Se han puesto a disposición de los usuarios las siguientes actualizaciones, en función de la vulnerabilidad:
- MSA-19-0004 y MSA-19-0007: 3.6.3, 3.5.5, 3.4.8 y 3.1.17
- MSA-19-0005 y MSA-19-0006: 3.6.3, 3.5.5 y 3.4.8
- MSA-19-0008: 3.6.3 y 3.5.5
- MSA-19-0009: 3.6.3
Detalle:
Las vulnerabilidades de criticidad alta son las siguientes:
- Los usuarios con la capacidad de login as other users (como administradores) pueden acceder a los dashboards de otros usuarios, pero el JavaScript que esos otros usuarios pueden haber añadido a su dashboard no se escapaba cuando era visto por el usuario que iniciaba sesión en su nombre. Se ha reservado el identificador CVE-2019-3847 para esta vulnerabilidad.
- Los permisos no se comprobaron correctamente antes de cargar la información de eventos en la ventana emergente modal de edición de eventos del calendario, de modo que los usuarios no invitados que hayan iniciado sesión pueden ver eventos de calendario no autorizados. (Nota: Era un acceso de sólo lectura, los usuarios no podían editar los eventos). Se ha reservado el identificador CVE-2019-3848 para esta vulnerabilidad.
- Los usuarios pueden asignarse un rol superior al que les corresponde dentro de los cursos o contenidos a los que se accede a través de LTI (Learning Tools Interoperability), modificando la solicitud al sitio web del editor de LTI. Se ha reservado el identificador CVE-2019-3849 para esta vulnerabilidad.
Para el resto de vulnerabilidades con criticidad baja, se han asignado los identificadores CVE-2019-3850, CVE-2019-3851 y CVE-2019-3852.