CSIRT Panamá Aviso 2022-01-25 Moodle: Múltiples vulnerabilidades en Moodle

Posted By: CSIRT Panamá January 26, 2022

CSIRT Panamá Aviso 2022-01-25 Moodle: Múltiples vulnerabilidades en Moodle

Gravedad: Alta
Fecha de publicación: Enero 25, 2022
Última revisión: Enero 25, 2022
Sitio web: https://moodle.org/
Sistemas Afectados:
• de la 3.11 a la 3.11.4;
• de la 3.10 a la 3.10.8;
• de la 3.9 a la 3.9.11;
• versiones anteriores no soportadas.

I. Descripción

Los investigadores Paul Holden, Ostapbender, oct0pus7 y Deds Castillo han reportado 4 vulnerabilidades: 2 de severidad crítica y 2 medias, por las que un atacante podría realizar una inyección SQL, una vulnerabilidad CSRF y el acceso CRUD a los eventos del calendario y los informes de calificaciones no autorizados.

II. Impacto

Vulnerabilidad: CVE-2022-0332

Riesgo de inyección SQL en el código de obtención de actividad h5p intentos de usuario.

Vulnerabilidad: CVE-2022-0335

Riesgo de CSRF en la eliminación de la alineación de insignias.

Para el resto de las vulnerabilidades de severidad media se han asignado los identificadores CVE-2022-0333 y CVE-2022-0334.

III. Referencia a soluciones, herramientas e información

Aplicar los parches correspondientes según los productos afectados (las versiones 3.11.5, 3.10.9 y 3.9.12, respectivamente.), desde el sitio oficial de Moodle. (https://download.moodle.org/

Fuentes:

1.Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Múltiples vulnerabilidades en Moodle. 24 de enero del 2022. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-moodle-18

2.Moodle. Security announcements. Detalle:

2.1 MSA-22-0001: SQL injection risk in code fetching h5p activity user attempts. Recopilado en: https://moodle.org/mod/forum/discuss.php?d=431099
2.2 MSA-22-0002: calendar:manageentries capability allows CRUD access to all calendar events. Recopilado en: https://moodle.org/mod/forum/discuss.php?d=431100
2.3 MSA-22-0003: Capability gradereport/user:view not always respected when navigating to a user’s course grade report. Recopilado en: https://moodle.org/mod/forum/discuss.php?d=431102
2.4 MSA-22-0004: CSRF risk in badge alignment deletion. Recopilado en: https://moodle.org/mod/forum/discuss.php?d=431103

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124