Gravedad: Alta
Fecha de publicación: marzo 29, 2023
Última revisión: marzo 29, 2023
Sitio web: https://moodle.org
Sistemas Afectados:
- desde 4.1 hasta 4.1.1;
- desde 4.0 hasta 4.0.6;
- desde 3.11 hasta 3.11.12;
- desde 3.9 hasta 3.9.19;
- versiones anteriores sin soporte.
I. Descripción
Los investigadores Vincent Schneider (cli-ish) y Petr Skoda han reportado 3 vulnerabilidades de severidad alta que afectan a Moodle.
II. Impacto
Vulnerabilidad: CVE-2023-28329
Una validación insuficiente de la condición de disponibilidad del campo de perfil podría provocar una inyección SQL (por defecto, solo disponible para los roles de profesores y gestores).
Vulnerabilidad: CVE-2023-28330
Una copia de seguridad no sanitizada correctamente podría provocar una lectura arbitraria de archivos. La capacidad de acceder a esta función solo está disponible para profesores, gestores y administradores de forma predeterminada.
Vulnerabilidad: CVE-2023-28331
El contenido generado por el filtro de enlace automático a la base de datos requería una sanitización adicional para evitar un XSS (Cross-Site Scripting).
III. Referencia a soluciones, herramientas e información
Actualizar a la versión de Moodle, 4.1.2, 4.0.7, 3.11.13 y 3.9.20, mediante el siguiente enlace: https://download.moodle.org/
Fuentes:
- Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Vulnerabilidad crítica en Drupal. 19 de enero del 2023. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-moodle-21
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124