CSIRT Panamá Aviso 2021-28-01 Moodle: Múltiples vulnerabilidades en Moodle.

Posted By: CSIRT Panamá January 29, 2021

CSIRT Panamá Aviso 2021-28-01 Moodle: Múltiples vulnerabilidades en Moodle.

Gravedad: Alta                                                                                                   

Fecha de publicación: Enero 28, 2021
Última revisión: Enero 28, 2021
Portal: https://moodle.org/

Sistemas Afectados: Vulnerabilidades de severidad crítica y severidad baja que afectan a los sistemas Moodle.

  1. Descripción

Se han publicado 5 vulnerabilidades en Moodle, 3 de severidad crítica y 2 de severidad baja, que podrían permitir ataques de tipo XSS, la ejecución arbitraria de código PHP, la divulgación de información o la denegación de servicio en el lado del cliente.

Los recursos afectados de la versión 3.10 son:

  • Desde la versión 3.9, hasta la 3.9.3;
  • Desde la versión 3.8, hasta la 3.8.6;
  • Desde la versión 3.5, hasta la 3.5.15 y las versiones anteriores sin soporte.
  1. Impacto

Vulnerabilidad: CVE-2021-20183

La validación insuficiente de las consultas de búsqueda, desde la plantilla de búsqueda de entradas, podría permitir a un atacante llevar a cabo ataques XSS reflejados.

Vulnerabilidad: CVE-2021-20186

El saneado insuficiente del contenido TeX, cuando el filtro de notación TeX está activado, podría permitir a un atacante llevar a cabo ataques del tipo XSS almacenado.

Vulnerabilidad: CVE-2021-20187

Los administradores del sitio podrían ejecutar scripts PHP arbitrarios a través de un include PHP, utilizado durante la autenticación de Shibboleth.

Las vulnerabilidades de severidad baja, se han asignado los identificadores CVE-2021-20184 y CVE-2021-20185.

III. Referencia a soluciones, herramientas e información

Actualización de los recursos Moodle a las versiones 3.10.1; 3.9.4; 3.8.7; 3.5.16.

Puede realizar estas descargas desde su sitio oficial https://download.moodle.org/.

Fuentes:

  • Moodle 3.10.1 and other minor versions released!. 18 de enero del 2021. Recopilado en: https://moodle.org/news/
  • INCIBE. Instituto Nacional de Ciberseguridad. España. Múltiples vulnerabilidades en Moodle. 25 de enero del 2021. Avisos de seguridad. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-moodle-12

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124