Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Moodle-n

Argitalpen data: 2019/03/19

Garrantzia: Handia

Kaltetutako baliabideak:

Ondoko bertsioak izan dira kaltetuak, ahultasunen arabera:

  • MSA-19-0004 eta MSA-19-0007: 3.6tik 3.6.2ra bitartekoak, 3.5etik 3.5.4ra bitartekoak, 3.4tik 3.4.7ra bitartekoak, 3.1etik 3.1.16ra bitartekoak eta zerbitzurik gabeko lehenagoko bertsioak.
  • MSA-19-0005: 3.6tik 3.6.2ra bitartekoak, 3.5etik 3.5.4ra bitartekoak eta 3.4tik 3.4.7ra bitartekoak
  • MSA-19-0006: 3.6tik 3.6.2ra bitartekoak, 3.5etik 3.5.4ra bitartekoak, 3.4tik 3.4.7ra bitartekoak, eta zerbitzurik gabeko lehenagoko bertsioak.
  • MSA-19-0008: 3.6tik 3.6.2ra bitartekoak eta 3.5etik 3.5.4ra bitartekoak.
  • MSA-19-0009: 3.6tik 3.6.2ra bitartekoak

Azalpena:

Moodle plataforman 6 ahultasun aurkitu dira, hiru kritikotasun altukoak eta beste hiru kritikotasun baxukoak.

Konponbidea:

Erabiltzaileen eskura jarri dira ondoko eguneraketak, ahultasun bakoitzaren arabera:

  • MSA-19-0004 eta MSA-19-0007: 3.6.3, 3.5.5, 3.4.8 eta 3.1.17.
  • MSA-19-0005 eta MSA-19-0006: 3.6.3, 3.5.5 eta 3.4.8.
  • MSA-19-0008: 3.6.3 eta 3.5.5
  • MSA-19-0009: 3.6.3

Xehetasuna:

Kritikotasun altuko ahultasunak ondokoak dira:

  • Login as other users (administratzaile modura) gaitasuna duten erabiltzaileek beste erabiltzaile batzuen dashboard-etara sar daitezke, baina erabiltzaile horiek beren dashboard-era gehitu ahal izan zuten JavaScript-ak ez zuen ihes egiten bere izenean saioa hasten zuen erabiltzaileak ikusten zuenean. Ahultasun horretarako CVE-2019-3847 identifikatzailea erreserbatu da.
  • Egutegiko ekitaldiak editatzeko azaleratzen den leiho modalean ekitaldien informazioa kargatu aurretik baimenak ez ziren zuzenki egiaztatu. Hortaz, saioa hasi duten gonbidapenik gabeko erabiltzaileek egutegiko ekitaldi baimenik gabeak ikus ditzakete. (Oharra: Irakurketa hutseko sarbidea zen, erabiltzaileek ezin zuten ekitaldirik editatu). Ahultasun horretarako CVE-2019-3848 identifikatzailea erreserbatu da.
  • Erabiltzaileek LTIren bidez (Learning Tools Interoperability) sarbidea lortzen den ikastaroen edo edukien barnean dagokiena baino rol altuagoa eman diezaiokete beren buruari, LTIren editorearen webgunerako eskaera aldatuz. Ahultasun horretarako CVE-2019-3849 identifikatzailea erreserbatu da.

Kritikotasun baxuko gainerako ahultasunetarako honako identifikatzaileak esleitu dira: CVE-2019-3850, CVE-2019-3851 eta CVE-2019-3852.

Etiketak: Eguneraketa, CMS, Ahultasuna