CSIRT Panamá Aviso 2022-07-22 Moodle: Múltiples vulnerabilidades en Moodle

CSIRT Panamá Aviso 2022-07-22 Moodle: Múltiples vulnerabilidades en Moodle

Gravedad: Alta
Fecha de publicación: Julio 22, 2022
Última revisión: Julio 22, 2022
Sitio web: https://moodle.org/
Sistemas Afectados:

• de la 4.0 a la 4.0.1;
• de la 3.11 a la 3.11.7;
• de la 3.9 a la 3.9.14;
• versiones anteriores no soportadas.

I. Descripción

Se han publicado 6 vulnerabilidades en Moodle, 3 de severidad crítica y 3 bajas, por las que un atacante podría realizar ejecución remota de código, lectura arbitraria de archivos, XSS, SSRF y redirección abierta.

II. Impacto

Vulnerabilidad CVE-2022-35649:

Un parámetro de ejecución omitido podría provocar una ejecución remota de código en los sitios que ejecutaban versiones de GhostScript anteriores a la 9.50.

Vulnerabilidad CVE-2022-35650:

Una comprobación insuficiente de la ruta en la importación de una pregunta de lección provocaba un riesgo de lectura arbitraria de archivos. La capacidad de acceder a esta función solo está disponible por defecto para los profesores, gestores y administradores.

Vulnerabilidad CVE-2022-35651:

Una sanitización insuficiente de los detalles de la pista SCORM podría provocar la explotación de vulnerabilidades XSS y SSRF.

Para el resto de las vulnerabilidades no críticas se han asignado los identificadores CVE-2022-35652 y CVE-2022-35653.

III. Referencia a soluciones, herramientas e información

Actualizar a las versiones 4.0.2, 3.11.8 y 3.9.15, respectivamente. Mediante el sitio: https://download.moodle.org/

Fuentes:

  1. Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Múltiples vulnerabilidades en Moodle. 18 de julio del 2022. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-moodle-20

Información de contacto

CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124