Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Moodle

Fecha de publicación 21/08/2023
Identificador

INCIBE-2023-0349

Importancia
4 - Alta
Recursos Afectados

Las siguientes versiones de Moodle se ven afectadas:

  • desde 4.2 hasta 4.2.1;
  • desde 4.1 hasta 4.1.4;
  • desde 4.0 hasta 4.0.9;
  • desde 3.11 hasta 3.11.15;
  • desde 3.9 hasta 3.9.22;
  • versiones anteriores sin soporte.
Descripción

Varios investigadores han reportado 5 vulnerabilidades de severidad alta y varias bajas que se pueden consultar en la web de avisos de Moodle.

Solución

Actualizar a las versiones 4.2.2, 4.1.5, 4.0.10, 3.11.16 y 3.9.23.

Detalle

Las vulnerabilidades de severidad alta podrían permitir a un atacante realizar un ataque de XSS vía OAuth 2, una inyección SQL, una ejecución remota de código o acceder a hosts teóricamente bloqueados por el proxy. Se han asignado los identificadores CVE-2022-39369, CVE-2023-40320, CVE-2023-40319, CVE-2023-40317 y CVE-2023-40316 para estas vulnerabilidades.

Listado de referencias
MSA-23-0025: phpCAS library upgraded to 1.6.0 (upstream)
MSA-23-0023: Stored self-XSS escalated to stored XSS via OAuth 2 login
MSA-23-0022: SQL injection risk in grader report sorting
MSA-23-0020: Remote code execution risk when parsing malformed file repository reference
MSA-23-0019: Proxy bypass risk due to insufficient validation
Security announcements
Etiquetas