Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Moodle

Fecha de publicación 19/05/2020
Importancia
4 - Alta
Recursos Afectados
  • Desde la versión 3.8, hasta la 3.8.2;
  • desde la versión 3.7, hasta la 3.7.5;
  • desde la versión 3.6, hasta la 3.6.9;
  • desde la versión 3.5, hasta la 3.5.11;
  • versiones anteriores sin soporte.
Descripción

Los investigadores, Paul Holden y Abdullah Hussam, han reportado dos vulnerabilidades de criticidad alta del tipo ejecución remota de código y Cross-Site Scripting (XSS) almacenado.

Solución

Moodle ha publicado diversas actualizaciones en función de la versión afectada:

  • 3.8.3,
  • 3.7.6,
  • 3.6.10,
  • 3.5.12.
Detalle
  • La versión 2.7.2 de MathJax, y anteriores, contienen una vulnerabilidad del tipo XSS almacenado. Se ha asignado el identificador CVE-2018-1999024 para esta vulnerabilidad.
  • Es posible generar un paquete SCORM, que cuando es añadido a un curso, puede conllevar a una ejecución remota de código. Se ha reservado el identificador CVE-2020-10738 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
MSA-20-0005: MathJax URL upgraded to later version to remove XSS risk (upstream)
MSA-20-0006: Remote code execution possible via SCORM packages
Etiquetas