Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Actualiza tu plataforma de formación Moodle

Fecha de publicación 19/03/2019
Importancia
4 - Alta
Recursos Afectados

Versiones de Moodle: 3.6 a 3.6.2, 3.5 a 3.5.4, 3.4 a 3.4.7, 3.1 a 3.1.16 y versiones anteriores no compatibles.

Descripción

Moodle ha publicado actualizaciones de seguridad para sus distintas versiones que solucionan seis vulnerabilidades.

Solución

Se recomienda actualizar Moodle a las últimas versiones que corrigen dichas vulnerabilidades accediendo a los siguientes enlaces: 3.6.3, 3.5.5, 3.4.8, y 3.1.17

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, sigue el perfil de twitter @ProtegeEmpresa o nuestro Facebook y serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117.

Detalle

Estas actualizaciones corrigen los problemas de seguridad que se detallan a continuación:

  • Los usuarios con privilegios de administrador podrían acceder al panel de control de otros usuarios. No obstante, no deberían tener permisos para visualizarlo por defecto.
  • No se comprueban correctamente los permisos antes de cargar la información de eventos en la ventana emergente de edición del calendario, de modo que los usuarios no invitados que hubieran iniciado sesión podrían ver eventos de calendario para los que no están autorizados. Es un acceso de solo lectura, por lo que estos usuarios no podrán editar los eventos.
  • Los usuarios podrían asignarse más privilegios a su cuenta en los cursos a los que se accede a través de la especificación de Interoperabilidad de Herramientas de Aprendizaje (LTI).
  • Existe la posibilidad de almacenar código HTML en los comentarios que se ejecutaría de manera automática.
  • Existe un enlace en el código del tema basado en Bootstrap que podría permitir a los estudiantes acceder a un sitio de terceros.
  • Un fallo en el congelamiento de contexto (context freezing - característica que le permite a los administradores o aquellos con la capacidad relevante, hacer bloques, cursos o contenido de curso de 'solo-lectura'), no tiene en cuenta los privilegios del usuario que ha iniciado sesión para modificar este contenido.

Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados y sigue estos consejos:

Mejoramos contigo. Participa en nuestra encuesta