CSIRT Panamá Aviso 2020-05-19 Moodle: Actualizaciones de Múltiples vulnerabilidades que afectan al sistema de gestión de aprendizaje Moodle.

Gravedad:Alta                                                                                                                Vulnerabilidad: CVE-2020-10738 / CVE-2018-1999024
Fecha de publicación: Mayo 19, 2020
Última revisión: Mayo 19, 2020
Portal: https://moodle.org/

Sistemas Afectados:
Vulnerabilidades de seguridad que afectan a todas las versiones de Moodle versiones 3.8 hasta la 3.8.2, 3.7 hasta la 3.7.5, 3.6 hasta la 3.6.9, 3.5 hasta la 3.5.11 y versiones anteriores.

I. Descripción
Actualización del sistema de gestión de aprendizaje Moodle referente a múltiples vulnerabilidades que afectan a sus productos.

II. Impacto

Vulnerabilidad: CVE-2020-10738

Debido a la insuficiente validación de datos ingresados por el usuario al procesar paquetes SCORM, un atacante remoto podría subir paquetes especialmente diseñados, que una vez agregados al curso, se podrán comunicar con el servicio web, logrando comprometer completamente al sistema afectado mediante la ejecución de código remoto.

Vulnerabilidad: CVE-2018-1999024

Debido a la insuficiente sanitización de datos ingresados por el usuario en el macro “unicode{}” en “MathJax”, un atacante remoto podría engañar a una víctima para que acceda a un enlace especialmente diseñado, logrando ejecutar HTML y código JavaScript en el contexto del sitio vulnerable. La explotación de esta vulnerabilidad XSS (Cross-site scripting) permitiría al atacante el robo de credenciales, cambiar la apariencia del sitio web y hasta conducir al usuario para descargar malware.

III. Referencia a soluciones, herramientas e información

Actualizar a la versión 3.8.3, 3.7.6, 3.6.10 ó 3.5.12 de Moodle, mediante su sitio web (https://download.moodle.org/)

Fuentes:

• Moodle docs. Security announcements. Recopilado en: https://moodle.org/mod/forum/discuss.php?d=403512
• Common Vulnerabilities and Exposures (CVE). Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1999024
• Moodle docs. Security announcements. Recopilado en: https://moodle.org/mod/forum/discuss.php?d=403513
• Common Vulnerabilities and Exposures (CVE). Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10738
• CSIRT Chile. 19 de mayo del 2020. Vulnerabilidades. Recopilado en: https://www.csirt.gob.cl/vulnerabilidades/9vsa20-00216-01/

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124