Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Múltiples vulnerabilidades en Moodle

Fecha de publicación: 19/05/2020

Importancia: Alta

Recursos afectados:

  • Desde la versión 3.8, hasta la 3.8.2;
  • desde la versión 3.7, hasta la 3.7.5;
  • desde la versión 3.6, hasta la 3.6.9;
  • desde la versión 3.5, hasta la 3.5.11;
  • versiones anteriores sin soporte.

Descripción:

Los investigadores, Paul Holden y Abdullah Hussam, han reportado dos vulnerabilidades de criticidad alta del tipo ejecución remota de código y Cross-Site Scripting (XSS) almacenado.

Solución:

Moodle ha publicado diversas actualizaciones en función de la versión afectada:

  • 3.8.3,
  • 3.7.6,
  • 3.6.10,
  • 3.5.12.

Detalle:

  • La versión 2.7.2 de MathJax, y anteriores, contienen una vulnerabilidad del tipo XSS almacenado. Se ha asignado el CVE-2018-1999024 para esta vulnerabilidad.
  • Es posible generar un paquete SCORM, que cuando es añadido a un curso, puede conllevar a una ejecución remota de código. Se ha reservado el identificador CVE-2020-10738 para esta vulnerabilidad.

Etiquetas: Actualización, CMS, Vulnerabilidad