Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Moodle

Fecha de publicación 22/01/2018
Importancia
4 - Alta
Recursos Afectados

Se han visto afectadas las siguientes versiones de la plataforma Moodle:

  • 3.4, 3.3 a 3.3.3, 3.2 a 3.2.6, 3.1 a 3.1.9 y anteriores versiones sin soporte
Descripción

Se han publicado cuatro vulnerabilidades que afectan a la plataforma Moodle, una catalogada con criticidad alta y las otras tres con criticidad media.

Solución

Actualizar a las versiones 3.4.1, 3.3.4, 3.2.7 y 3.1.10 que corrigen estas vulnerabilidades.

Detalle

De las cuatro vulnerabilidades reportadas, tres son de criticidad media y una de criticidad alta, cuyo detalle es el siguiente: 

  • Server Side Request Forgery (SSRF) en el Filepicker. Un usuario autenticado, podría explotar esta vulnerabilidad y acceder a cualquier URL, sustituyendo la URL de origen en el Filepicker del sistema de autenticación AJAX. La explotación exitosa de esta vulnerabilidad podría exponer datos sensibles, especialmente en proveedores de la plataforma en la nube.

Encuesta valoración

Listado de referencias
MSA-18-0001: Server Side Request Forgery in the filepicker
MSA-18-0002: Setting for blocked hosts list can be bypassed with multiple A record hostnames
MSA-18-0003: Privilege escalation in quiz web services
MSA-18-0004: XSS in calendar event name
Etiquetas