Gravedad: Alta
Fecha de publicación: mayo 5, 2023
Última revisión: mayo 5, 2023
Sitio web: https://moodle.org
Sistemas Afectados:
- desde 4.1 hasta 4.1.2;
- desde 4.0 hasta 4.0.7;
- desde 3.11 hasta 3.11.13;
- desde 3.9 hasta 3.9.20;
- versiones anteriores sin soporte.
I. Descripción
Los investigadores, Yaniv Nizry y Paul Holden, han reportado 2 vulnerabilidades, una de severidad alta y otra baja, que afectan a Moodle
II. Impacto
Vulnerabilidad: CVE-2023-30943
Un saneamiento insuficiente de los cargadores utilizados por TinyMCE (editor de texto WYSIWYG para HTML) podría permitir la generación arbitraria de carpetas en el sistema.
La vulnerabilidad de severidad baja tiene asignado el identificador CVE-2023-30944.
III. Referencia a soluciones, herramientas e información
Actualizar a la versión de Moodle, 4.1.3, 4.0.8, 3.11.14 y 3.9.21, mediante el siguiente enlace: https://download.moodle.org/
Fuentes:
- Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Vulnerabilidad crítica en Drupal. 2 de mayo del 2023. Recopilado en: https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-moodle
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124