Múltiples vulnerabilidades en Moodle
Fecha de publicación 14/05/2024
Identificador
INCIBE-2024-0248
Importancia
4 - Alta
Recursos Afectados
Las siguientes versiones de Moodle se ven afectadas:
- desde 4.0 hasta 4.3.3;
- desde 4.2 hasta 4.2.6;
- desde 4.1 hasta 4.1.9;
- versiones anteriores sin soporte.
Descripción
Los investigadores David Utón (m3n0sd0n4ld) y Vincent Schneider (cli-ish) han reportado un total de 5 vulnerabilidades (1 y 4, respectivamente) que afectan al CMS Moodle.
Solución
Actualizar a las versiones 4.3.4, 4.2.7 y 4.1.10.
Detalle
- La validación incorrecta de los tipos de eventos permitidos en un servicio web de calendario hacía posible que algunos usuarios crearan eventos con tipos/audiencias para los que no tenían permiso de publicación. Se ha asignado el identificador CVE-2024-33996 para esta vulnerabilidad.
- En un entorno de alojamiento compartido mal configurado para permitir el acceso al contenido de otros usuarios, un usuario de Moodle con accesos para restaurar distintos tipos de módulos (feedback, workshop, wiki y database activity) y al servidor web fuera del webroot de Moodle, podría ejecutar un archivo local. Se han asignado los identificadores CVE-2024-34002, CVE-2024-34003, CVE-2024-34004 y CVE-2024-34005 para estas vulnerabilidades, según el tipo de módulo afectado respectivamente.
Listado de referencias
Etiquetas
