Argitalpen data: 2020/09/22
Garrantzia:
Handia
Kaltetutako baliabideak:
- 3.9 bertsiotik 3.9.1 bertsiora;
- 3.8 bertsiotik 3.8.4 bertsiora;
- 3.7 bertsiotik 3.7.7 bertsiora;
- 3.5 bertsiotik 3.5.13 bertsiora;
- Bateragarriak ez diren aurreko bertsioak.
Azalpena:
Hainbat ikertzailek 5 ahultasunen berri
eman dute; 3 larritasun handikoak eta 2 baxukoak. Motak: XSS biltegiratua, XSS
islatua, pribilegioen eskalatzea, zerbitzu ukapena (DoS) eta JavaScript
kodearen sanitizazio falta.
Konponbidea:
Moodle sistemak hainbat eguneratze
argitaratu ditu, kaltetutako bertsioaren arabera:
- 3.9.2;
- 3.8.5;
- 3.7.8;
- 3.5.14.
Xehetasunak:
- moodlenetprofile erabiltzailearen profil-eremuak ez ditu sartutako datuak behar beste balioztatzen, biltegiratutako XSS eraso bat sufritzeko arriskua saihesteko. Ahultasun horretarako, CVE-2020-25627 identifikatzailea esleitu da.
- Administrazio egitekoen erregistroaren filtroak ez ditu behar beste balioztatzen sartutako datuak, XSS islatuaren motako eraso bat saihesteko. Ahultasun horretarako, CVE-2020-25628 identifikatzailea esleitu da.
- Zip artxiboen tamaina, deskonprimatuta, ez zen konprobatu deskonprimatu aurretik eskura zegoen erabiltzaile-kuotarekiko, beraz, zerbitzuaren ukapena sortu liteke (DoS). Ahultasun horretarako, CVE-2020-25630 identifikatzailea esleitu da.
Gainerako ahultasunetarako, honako
identifikatzaileak erreserbatu dira: CVE-2020-25629 eta CVE-2020-25631.
Etiketak: Eguneratzea, CMS, Ahultasuna