Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/09/22

Garrantzia: Handia

Kaltetutako baliabideak:

• 3.9 bertsiotik 3.9.1 bertsiora;
• 3.8 bertsiotik 3.8.4 bertsiora;
• 3.7 bertsiotik 3.7.7 bertsiora;
• 3.5 bertsiotik 3.5.13 bertsiora;
• Bateragarriak ez diren aurreko bertsioak.

Azalpena:

Hainbat ikertzailek 5 ahultasunen berri eman dute; 3 larritasun handikoak eta 2 baxukoak. Motak: XSS biltegiratua, XSS islatua, pribilegioen eskalatzea, zerbitzu ukapena (DoS) eta JavaScript kodearen sanitizazio falta.

Konponbidea:

Moodle sistemak hainbat eguneratze argitaratu ditu, kaltetutako bertsioaren arabera:

• 3.9.2;
• 3.8.5;
• 3.7.8;
• 3.5.14.

Xehetasunak:

• moodlenetprofile erabiltzailearen profil-eremuak ez ditu sartutako datuak behar beste balioztatzen, biltegiratutako XSS eraso bat sufritzeko arriskua saihesteko. Ahultasun horretarako, CVE-2020-25627 identifikatzailea esleitu da.
• Administrazio egitekoen erregistroaren filtroak ez ditu behar beste balioztatzen sartutako datuak, XSS islatuaren motako eraso bat saihesteko. Ahultasun horretarako, CVE-2020-25628 identifikatzailea esleitu da.
• Zip artxiboen tamaina, deskonprimatuta, ez zen konprobatu deskonprimatu aurretik eskura zegoen erabiltzaile-kuotarekiko, beraz, zerbitzuaren ukapena sortu liteke (DoS). Ahultasun horretarako, CVE-2020-25630 identifikatzailea esleitu da.

Gainerako ahultasunetarako, honako identifikatzaileak erreserbatu dira: CVE-2020-25629 eta CVE-2020-25631.

Etiketak: Eguneratzea, CMS, Ahultasuna