CSIRT Panamá Aviso 2023-06-20 Múltiples vulnerabilidades en Moodle
Gravedad: Alta
Fecha de publicación: junio 19, 2023
Última revisión: junio 19, 2023
Sitio web: https://moodle.org
Sistemas Afectados:
- desde 4.2 hasta 4.1.3;
- desde 4.0 hasta 4.0.8;
- desde 3.11 hasta 3.11.14;
- desde 3.9 hasta 3.9.21;
- versiones anteriores sin soporte.
I. Descripción
Los investigadores Mateo Hanžek, Paul Holden y Petr Skoda han reportado 3 vulnerabilidades, dos de severidad media y una de severidad alta, las cuales podrían permitir a un atacante realizar una escalada de privilegios, ejecutar código arbitrario o acceder a determinados servicios.
II. Impacto
Vulnerabilidad: CVE-2023-35133
La vulnerabilidad de severidad alta se debe a un problema en la lógica utilizada para comparar 0.0.0.0 con las listas de hosts bloqueados de cURL que deriva en un riesgo de SSRF (Server-Side Request Forgery).
Esto podría permitir a un atacante escalar privilegios dentro del sistema, ejecutar código de forma remota dentro del servidor o inducir una aplicación del servidor a realizar solicitudes a una ubicación no deseada.
Se han asignado los identificadores CVE-2023-35131 y CVE-2023-35132 para las vulnerabilidades de severidad media.
III. Referencia a soluciones, herramientas e información
Actualizar a la versión de Moodle, 4.2.1, 4.1.4, 4.0.9, 3.11.15 y 3.9.22, respectivamente, mediante el siguiente enlace: https://download.moodle.org/
Fuentes:
- Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Vulnerabilidad crítica en Moodle. 19 de junio del 2023. Recopilado en: https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-moodle-0
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124