CSIRT Panamá Aviso 2021-09-21 Moodle: Múltiples vulnerabilidades en Moodle
Gravedad: Critica
Fecha de publicación: Septiembre 21, 2021
Última revisión: Septiembre 21, 2021
Sitio web: https://moodle.org/
Sistemas Afectados:
• de la 3.11 a la 3.11.2,
• de la 3.10 a la 3.10.6,
• de la 3.9 a la 3.9.9 y
• versiones anteriores sin soporte.
I. Descripción
Se han publicado cuatro vulnerabilidades de severidad crítica y otra de severidad baja que podrían permitir a un atacante realizar un secuestro de sesión o acceder a información confidencial.
II. Impacto
Vulnerabilidad: CVE-2021-40691
El plugin de autenticación Shibboleth es vulnerable al secuestro de sesión si está habilitado.
Vulnerabilidad: CVE-2021-40693
Un atacante podría eludir la autenticación al utilizar una base de datos externa para autenticación debida en una vulnerabilidad de tipo juggling (comparar valores aunque tengan un tipo de datos diferente).
Vulnerabilidad: CVE-2021-40694
Un atacante con privilegios de administrador podría leer los archivos alojados en el servidor HTTP de una cuenta a través del preámbulo de LaTeX.
Vulnerabilidad: CVE-2021-40695
La calificación de una prueba podría ser leída previamente a su publicación mediante el uso de un servicio web de prueba.
III. Referencia a soluciones, herramientas e información
Actualizar las versiones de los productos Moodle mediante su sitio oficial, https://download.moodle.org/ en las versiones 3.11.3, 3.10.7 y 3.9.10.
Fuentes:
- Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Múltiples vulnerabilidades en Moodle. 21 de septiembre del 2021. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-moodle-16
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124