Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/7/21

Garrantzia: Handia

Kaltetutako baliabideak: 

• 3.9 bertsioa;
• 3.8 bertsiotik 3.8.3 bertsiora arte;
• 3.7 bertsiotik 3.7.6 bertsiora arte;
• 3.5 bertsiotik 3.5.12 bertsiora arte;
• euskarririk gabeko aurreko bertsioak.

Azalpena: 

Hainbat zaurgarritasun argitaratu dira, erasotzaile bati zerbitzua ukatzea, pribilegioak igotzea, islatutako XXS erasoak edo prototipo-kutsadura ahalbidetu diezaioketenak.

Konponbidea: 

Moodlek hainbat eguneratze argitaratu ditu, eragindako bertsioaren arabera:

• 3.9.1;
• 3.8.4;
• 3.7.7;
• 3.5.13.

Xehetasunak: 

• Plataforman karga daitezkeen artxiboen kopurua ez mugatzeak zerbitzua ukatzeko arriskua ekar lezake. CVE-2020-14322 identifikatzailea gorde da zaurgarritasun horretarako.
• Ikastaro bateko irakasleek manager rola egotz diezaiekete beren buruari ikastaro honen barruan. CVE-2020-14321 identifikatzailea gorde da zaurgarritasun horretarako.
• Administratzailearen zereginen erregistroan iragazkiaren saneamendu desegokiak XSS eraso islatuak egiteko aukera eman diezaioke erasotzaile bati. CVE-2020-14320 identifikatzailea gorde da zaurgarritasun horretarako.
• H5P liburutegiak erabiltzen duen JQueryren bertsioak prototipoa kutsatzeko aukera eman diezaioke erasotzaile bati CVE-2019-11358 identifikatzailea gorde da zaurgarritasun horretarako.

Etiketak: Eguneratzea, CMS, zaurgarritasuna