Argitalpen data: 2019/03/19
Garrantzia:
Handia
Kaltetutako baliabideak:
Ondoko bertsioak izan dira kaltetuak,
ahultasunen arabera:
- MSA-19-0004 eta MSA-19-0007: 3.6tik 3.6.2ra bitartekoak, 3.5etik 3.5.4ra bitartekoak, 3.4tik 3.4.7ra bitartekoak, 3.1etik 3.1.16ra bitartekoak eta zerbitzurik gabeko lehenagoko bertsioak.
- MSA-19-0005: 3.6tik 3.6.2ra bitartekoak, 3.5etik 3.5.4ra bitartekoak eta 3.4tik 3.4.7ra bitartekoak
- MSA-19-0006: 3.6tik 3.6.2ra bitartekoak, 3.5etik 3.5.4ra bitartekoak, 3.4tik 3.4.7ra bitartekoak, eta zerbitzurik gabeko lehenagoko bertsioak.
- MSA-19-0008: 3.6tik 3.6.2ra bitartekoak eta 3.5etik 3.5.4ra bitartekoak.
- MSA-19-0009: 3.6tik 3.6.2ra bitartekoak
Azalpena:
Moodle plataforman 6 ahultasun aurkitu
dira, hiru kritikotasun altukoak eta beste hiru kritikotasun baxukoak.
Konponbidea:
Erabiltzaileen eskura jarri dira ondoko
eguneraketak, ahultasun bakoitzaren arabera:
- MSA-19-0004 eta MSA-19-0007: 3.6.3, 3.5.5, 3.4.8 eta 3.1.17.
- MSA-19-0005 eta MSA-19-0006: 3.6.3, 3.5.5 eta 3.4.8.
- MSA-19-0008: 3.6.3 eta 3.5.5
- MSA-19-0009: 3.6.3
Xehetasuna:
Kritikotasun altuko ahultasunak ondokoak
dira:
- Login as other users (administratzaile
modura) gaitasuna duten erabiltzaileek beste erabiltzaile batzuen dashboard-etara
sar daitezke, baina erabiltzaile horiek beren dashboard-era gehitu ahal izan
zuten JavaScript-ak ez zuen ihes egiten bere izenean saioa hasten zuen
erabiltzaileak ikusten zuenean. Ahultasun horretarako CVE-2019-3847
identifikatzailea erreserbatu da.
- Egutegiko ekitaldiak editatzeko azaleratzen den leiho modalean ekitaldien informazioa kargatu aurretik baimenak ez ziren zuzenki egiaztatu. Hortaz, saioa hasi duten gonbidapenik gabeko erabiltzaileek egutegiko ekitaldi baimenik gabeak ikus ditzakete. (Oharra: Irakurketa hutseko sarbidea zen, erabiltzaileek ezin zuten ekitaldirik editatu). Ahultasun horretarako CVE-2019-3848 identifikatzailea erreserbatu da.
- Erabiltzaileek LTIren bidez (Learning Tools
Interoperability) sarbidea lortzen den ikastaroen edo edukien barnean dagokiena
baino rol altuagoa eman diezaiokete beren buruari, LTIren editorearen
webgunerako eskaera aldatuz. Ahultasun horretarako CVE-2019-3849
identifikatzailea erreserbatu da.
Kritikotasun baxuko gainerako
ahultasunetarako honako identifikatzaileak esleitu dira: CVE-2019-3850,
CVE-2019-3851 eta CVE-2019-3852.
Etiketak: Eguneraketa, CMS, Ahultasuna