CSIRT Panamá Aviso 2021-05-24 Moodle: Múltiples vulnerabilidades en Moodle

TOPICS:

Posted By: CSIRT Panamá May 25, 2021

CSIRT Panamá Aviso 2021-05-24 Moodle: Múltiples vulnerabilidades en Moodle

Gravedad: Alta
Fecha de publicación: Mayo 24, 2021
Última revisión: Mayo 24, 2021
Sitio web: https://moodle.org/
Sistemas Afectados: Las versiones de Moodle que se ven afectadas son las siguientes:
• de la 3.10 a la 3.10.3;
• de la 3.9 a la 3.9.6;
• de la 3.8 a la 3.8.8;
• de la 3.5 a la 3.5.17;
• versiones anteriores no soportadas.

V. Descripción

Vulnerabilidades en productos Moodle, 5 vulnerabilidades de severidad crítica y 3 de severidad baja, que podrían permitir a un atacante exportar las publicaciones de todos los cursos, realizar inyecciones SQL, ataques XSS y DoS y acceso a información restringida a administradores.

VI. Impacto
Vulnerabilidad: CVE-2021-32472
Los profesores que exportan un foro en formato CSV podrían recibir un CSV con los foros de todos los cursos en algunas circunstancias.

Vulnerabilidad: CVE-2021-32473
Un estudiante podría ver la nota de su cuestionario, antes que sea publicado, utilizando un servicio web de cuestionarios.

Vulnerabilidad: CVE-2021-324734
Inyección SQL en los sitios con MNet habilitado y configurado, a través de una llamada XML-RPC desde el host par conectado, siempre y cuando se tuviese acceso del administrador del sitio o acceso al par de claves.

Vulnerabilidad: CVE-2021-32476
Denegación de servicio (DoS) en el área de archivos de borrador, debido a que no respeta los límites de carga de archivos de los usuarios.

Para el resto de vulnerabilidades, con severidad baja, se han asignado los identificadores: CVE-2021-32475, CVE-2021-32477 y CVE-2021-32478.

III. Referencia a soluciones, herramientas e información
Actualización de moodle, desde su sitio oficial (https://download.moodle.org/), correspondiente a las siguientes versiones:
• 3.11;
• 3.10.4;
• 3.9.7;
• 3.8.9;
• 3.5.18.

La biblioteca H5P PHP incluida en Moodle ha sido actualizada a la última versión, que incluye una corrección de seguridad.

Fuentes:

  1. Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Actualización de seguridad de Cisco. 18 de mayo del 2021. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-moodle-14

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124