CSIRT Panamá Aviso 2020-07-29 Moodle: Actualización de seguridad de la plataforma Moodle.

TOPICS:

Posted By: CSIRT Panamá July 31, 2020

CSIRT Panamá Aviso 2020-07-29 Moodle: Actualización de seguridad de la plataforma Moodle.

Gravedad: Alta
Vulnerabilidades: CVE-2020-14320/ CVE-2020-14321 / CVE-2020-14322
Fecha de publicación: Julio 29, 2020
Última revisión: Julio 29, 2020
Portal: https://moodle.org
Sistemas Afectados: Diversas versiones de la plataforma Moodle.
I.Descripción
Actualización de la plataforma Moodle en relación a tres vulnerabilidades que permitirían a un atacante causar una denegación de servicios, un ataque Cross-site Scripting o escalar privilegios en el sistema afectado.

II.Impacto
Vulnerabilidad: CVE-2020-14320
El filtro en el registro de tareas del administrador requería mayor sanitización para prevenir correctamente un riesgo de ataque Reflected XSS (Cross-site Scripting reflejado).
Productos Afectados: Moodle versiones 3.9, 3.8 – 3.8.3 y 3.7 – 3.7.6.
Vulnerabilidad: CVE-2020-14321
Era posible para un profesor en su curso elevar privilegios en el mismo curso a privilegios del rol «Manager».
Productos Afectados: Moodle versiones 3.9, 3.8 – 3.8.3, 3.7 – 3.7.6, 3.5 – 3.5.12 y versiones anteriores no soportadas.
Vulnerabilidad: CVE-2020-14322

El módulo «yui_combo» no limitaba la cantidad de archivos que podía cargar, por lo que ahora se limita para mitigar un posible riesgo de denegación de servicios.
Productos Afectados: Moodle versiones 3.9, 3.8 – 3.8.3, 3.7 – 3.7.6, 3.5 – 3.5.12 y versiones anteriores no soportadas.

III. Referencia a soluciones, herramientas e información
Se recomienda actualizar a las versiones 3.9.1, 3.8.4, 3.7.7 o 3.5.13, mediante su sitio oficial (https://download.moodle.org/).
Fuentes:
 Moodle. Security announcements. 20 de julio del 2020. Recopilado en: https://moodle.org/mod/forum/discuss.php?d=407394
 Moodle. Security announcements. 20 de julio del 2020. Recopilado en: https://moodle.org/mod/forum/discuss.php?d=407393
 Moodle. Security announcements. 20 de julio del 2020. Recopilado en: https://moodle.org/mod/forum/discuss.php?d=407392
 Instituto de Ciberseguridad (INCIBE). Múltiples vulnerabilidades en Moodle. 21 de julio del 2020. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-moodle-10
 CSIRT Chile. 29 de julio del 2020. Vulnerabilidades. Recopilado en: https://www.csirt.gob.cl/vulnerabilidades/9vsa20-00280-01/

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124