Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Moodle

Fecha de publicación 18/02/2025
Identificador
INCIBE-2025-0092
Importancia
5 - Crítica
Recursos Afectados

Versiones anteriores no compatibles y, además:

  • Versiones 4.5 a 4.5.1,
  • Versiones 4.4 a 4.4.5,
  • Versiones 4.3 a 4.3.9,
  • Versiones 4.1 a 4.1.15.
Descripción

Moodle ha publicado correcciones para 10 vulnerabilidades, 4 de ellas críticas. Su explotación podría permitir inyección SQL; Cross-Site Spriting reflejado y almacenado; y lectura arbitraria de archivos, entre otros.

Dichas vulnerabilidades fueron reportadas por los investigadores: Lars Bonczek, Hect0r, nightbloodz y vicevirus.

Solución

Actualizar a las versiones: 4.5.2, 4.4.6, 4.3.10 y 4.1.16.

Detalle

Las vulnerabilidades críticas se describen como:

  • CVE-2025-26533: riesgo de inyección SQL en el filtro de la lista de módulos dentro de la búsqueda de cursos.
  • CVE-2025-26530: el filtro del banco de preguntas requirió una desinfección adicional para evitar un riesgo de XSS reflejado.
  • CVE-2025-26529: la información de descripción que se muestra en el registro de la administración del sitio requiere una limpieza adicional para evitar un riesgo de XSS almacenado.
  • CVE-2025-26525: una limpieza insuficiente del filtro de notación TeX podría provocar un riesgo de lectura arbitraria de archivos en sitios donde pdfTeX está disponible.

El resto de vulnerabilidades se pueden consultar en las referencias

Listado de referencias
MSA-25-0010: SQL injection risk in course search module list filter
MSA-25-0006: Reflected XSS via question bank filter
MSA-25-0005: Stored XSS risk in admin live log
MSA-25-0001: Arbitrary file read risk through pdfTeX
Moodle anuncios de seguridad
Etiquetas