Dos nuevos avisos de seguridad

Múltiples vulnerabilidades en Moodle

Fecha14/05/2024
Importancia4 - Alta
Recursos Afectados

Las siguientes versiones de Moodle se ven afectadas:

  • desde 4.0 hasta 4.3.3;
  • desde 4.2 hasta 4.2.6;
  • desde 4.1 hasta 4.1.9;
  • versiones anteriores sin soporte.
Descripción

Los investigadores David Utón (m3n0sd0n4ld) y Vincent Schneider (cli-ish) han reportado un total de 5 vulnerabilidades (1 y 4, respectivamente) que afectan al CMS Moodle.

Solución

Actualizar a las versiones 4.3.4, 4.2.7 y 4.1.10.

Detalle
  • La validación incorrecta de los tipos de eventos permitidos en un servicio web de calendario hacía posible que algunos usuarios crearan eventos con tipos/audiencias para los que no tenían permiso de publicación. Se ha asignado el identificador CVE-2024-33996 para esta vulnerabilidad.
  • En un entorno de alojamiento compartido mal configurado para permitir el acceso al contenido de otros usuarios, un usuario de Moodle con accesos para restaurar distintos tipos de módulos (feedback, workshop, wiki y database activity) y al servidor web fuera del webroot de Moodle, podría ejecutar un archivo local. Se han asignado los identificadores CVE-2024-34002, CVE-2024-34003, CVE-2024-34004 y CVE-2024-34005 para estas vulnerabilidades, según el tipo de módulo afectado respectivamente.

Múltiples vulnerabilidades en productos Apple

Fecha14/05/2024
Importancia5 - Crítica
Recursos Afectados

Versiones anteriores a:

  • iOS 16.7.8 y iPadOS 16.7.8
  • iOS 17.5 y iPadOS 17.5
  • tvOS 17.5
  • Safari 17.5
  • watchOS 10.5
  • macOS Monterey 12.7.5
  • macOS Sonoma 14.5
  • macOS Ventura 13.6.7
Descripción

Apple ha informado sobre varias vulnerabilidades, algunas de tipo 0day, que podrían permitir a un atacante acceder a información sensible, acceder a la sesión de otro usuario o ejecutar código arbitrario, ejecutar código arbitrario en el kernel, entre otras acciones.

 

Solución

Actualizar a las últimas versiones disponibles:

  • iOS 16.7.8 y iPadOS 16.7.8
  • iOS 17.5 y iPadOS 17.5
  • tvOS 17.5
  • Safari 17.5
  • watchOS 10.5
  • macOS Monterey 12.7.5
  • macOS Sonoma 14.5
  • macOS Ventura 13.6.7
Detalle

La vulnerabilidad 0day fue detectada afecta al componente RTKit y consiste en un fallo de en la memoria del dispostivo afectado, que podría ser aprovechado por un atacante para omitir las protecciones de acceso al kernel. Se ha asignado el identificador CVE-2024-23296 para esta vulnerabilidad.

La información del resto de vulnerabilidades puede consultarse en las referencias.