CSIRT Panamá Aviso 2021-11-16 Moodle: Múltiples vulnerabilidades en Moodle
Gravedad: Alta
Fecha de publicación: Noviembre 16, 2021
Última revisión: Noviembre 16, 2021
Sitio web: https://moodle.org/
Sistemas Afectados:
• de la 3.11 a la 3.11.3,
• de la 3.10 a la 3.10.7,
• de la 3.9 a la 3.9.10,
• versiones anteriores no soportadas.
I. Descripción
Se han publicado cinco vulnerabilidades en Moodle, tres de severidad crítica y el resto de severidad baja, que podrían permitir a un atacante ejecutar código de forma remota y realizar ataques de tipo XSS reflejado o CSRF.
II. Impacto
Vulnerabilidad: CVE-2021-3943
Al restaurar archivos de backup con un formato erróneo, un atacante podría ejecutar código de forma remota.
Vulnerabilidad: CVE-2021-43558
Un parámetro URL en la herramienta de administrador filetype es vulnerable a ataques de tipo XSS reflejado.
Vulnerabilidad: CVE-2021-43559
La falta del token de comprobación en la función delete related badge hace vulnerables a las versiones afectadas a ataques CSRF.
Para una de las vulnerabilidades de severidad baja se ha asignado el identificador CVE-2021-43560.
III. Referencia a soluciones, herramientas e información
Aplicar los parches correspondientes (3.11.4, 3.10.8, 3.9.11) desde el sitio oficial de Moodle (https://download.moodle.org/)
Fuentes:
- Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Múltiples vulnerabilidades en Moodle. 16 de noviembre del 2021. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-moodle-17
- Security announcements. 15 de noviembre del 2021. Recopilado en: https://moodle.org/mod/forum/view.php?id=7128
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124