Acceso a información sensible desprotegida en Moodle
Moodle, versiones:
- 4.1 hasta la 4.1.12;
- 4.2 hasta la 4.2.9;
- 4.3 hasta la 4.3.6;
- 4.4 hasta la 4.4.2;
- Versiones anteriores sin soporte.
Moodle ha publicado 3 nuevas vulnerabilidades, 1 de ellas crítica y las otras 2 bajas. La explotación de estas vulnerabilidades podría permitir el acceso sin autorización, la escalada de privilegios y el borrado del sistema de doble autenticación.
En la detección de estas vulnerabilidades, han participado los investigadores Frédéric Massart, Trevor McCready y TaiYou.
Actualizar a las versiones:
- 4.1.13;
- 4.2.10;
- 4.3.7;
- 4.4.3.
Todas las tablas dinámicas que requieran acceso por no-administradores, no aplican comprobaciones de capacidad, lo que permitiría a los usuarios sin privilegios acceder a información sensible. Se ha asignado el identificador CVE-2024-45689 para esta vulnerabilidad.
El resto de vulnerabilidades no críticas puede consultarse en las referencias.
