CSIRT Panamá Aviso 2021-03-17 Moodle: Múltiples vulnerabilidades en Moodle

TOPICS:avisos de seguridad moodle vulnerabilidades

Posted By: CSIRT Panamá March 17, 2021

CSIRT Panamá Aviso 2021-03-17 Moodle: Múltiples vulnerabilidades en Moodle

Gravedad: Alta
Fecha de publicación: Marzo 17, 2021
Última revisión: Marzo 17, 2021
Sitio web: https://moodle.org/
Sistemas Afectados: Las versiones afectadas de Moodle:
• de la 3.10 a la 3.10.1;
• de la 3.9 a la 3.9.4;
• de la 3.8 a la 3.8.7;
• de la 3.5 a la 3.5.16;
• versiones anteriores no soportadas.

I. Descripción

Vulnerabilidades críticas que afectan a productos Moodle, 2 de severidad crítica y 5 de severidad baja, que podrían permitir a un atacante realizar ataques de tipo XSS almacenado o SSRF ciego.

II. Impacto

Vulnerabilidad: CVE-2021-20279

Filtrado insuficientes en el campo para introducir el ID del usuario podría permitir a un usuario malintencionado realizar un ataque de tipo XSS almacenado (stored).

Vulnerabilidad: CVE-2021-20280

Filtrado insuficiente en las respuestas de feedback podría permitir a un usuario malintencionado realizar un ataque de tipo XSS almacenado o SSRF ciego (blind).
Para las vulnerabilidades de severidad baja, se han asignado los identificadores CVE-2020-11022, CVE-2020-11023, CVE-2021-20283, CVE-2021-20282 y CVE-2021-20281.

III. Referencia a soluciones, herramientas e información

Aplicar las últimas actualizaciones de los productos afectados desde el sitio oficial (https://download.moodle.org/) a las versiones 3.10.2; 3.9.5; 3.8.8; 3.5.17.
• Moodle 3.10.2 release notes: https://docs.moodle.org/dev/Moodle_3.10.2_release_notes
• Moodle 3.9.5 release notes: https://docs.moodle.org/dev/Moodle_3.9.5_release_notes
• Moodle 3.8.8 release notes: https://docs.moodle.org/dev/Moodle_3.8.8_release_notes
• Moodle 3.5.17 release notes: https://docs.moodle.org/dev/Moodle_3.5.17_release_notes

Fuentes:
? Instituto Nacional de Ciberseguridad (INCIBE). Avisos Seguridad, Múltiples vulnerabilidades en Moodle. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-moodle-13
? MOODLE. Moodle 3.10.2 and other minors are out!. Recopilado en: https://moodle.org/mod/forum/discuss.php?d=419355#p1689961

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124