CSIRT Panamá Aviso 2021-07-20 Moodle: Múltiples vulnerabilidades en Moodle

Posted By: CSIRT Panamá July 20, 2021

CSIRT Panamá Aviso 2021-07-20 Moodle: Múltiples vulnerabilidades en Moodle

Gravedad: Alta
Fecha de publicación: Julio 20, 2021
Última revisión: Julio 20, 2021
Sitio web: https://moodle.org/
Sistemas afectados:
• 3.11,
• de la 3.10 a la 3.10.4,
• de la 3.9 a la 3.9.7,
• versiones anteriores no soportadas

I. Descripción

Vulnerabilidades de severidad crítica que podrían permitir a un atacante eliminar mensajes de usuarios, establecer una condición de denegación de servicio (DoS), ejecutar código de forma remota, realizar ataques de inyección SQL o de tipo SSRF ciego.

II. Impacto

Vulnerabilidad: CVE-2021-36397

Una vulnerabilidad de comprobación de capacidad insuficiente podría permitir que la eliminación de mensajes no esté limitada al usuario actual.

Vulnerabilidad: CVE-2021-36396

Un incorrecto manejo de redireccionamiento podría permitir a un atacante eludir las restricciones de hosts cURL bloqueados / puertos permitidos, haciendo posible ataques de tipo SSRF ciego.

Vulnerabilidad: CVE-2021-36395

Un cURL recursivo en el repositorio de archivos podría permitir a un atacante establecer una condición de denegación de servicio.

Vulnerabilidad: CVE-2021-36394

Una vulnerabilidad en el método de autenticación de Shibboleth podría permitir a un atacante ejecutar código de forma remota.

Vulnerabilidad: CVE-2021-36393 y CVE-2021-36392

Una vulnerabilidad en las bibliotecas dedicadas a la búsqueda de los cursos recientes o en los que se encuentra inscrito un usuario, podría permitir a un atacante realizar un ataque de inyección SQL.

III. Referencia a soluciones, herramientas e información

Actualizar a las versiones correspondientes, mediante el siguiente enlace, https://download.moodle.org/.

Fuentes:

  1. Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Múltiples vulnerabilidades en Moodle. 20 de julio del 2021. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-moodle-15

Información de contacto

CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124