CSIRT Panamá Aviso 2023-10-24 Múltiples vulnerabilidades en Moodle
Gravedad:Alta
Fecha de publicación: octubre 24, 2023
Última revisión: octubre 24, 2023
Sitio web: https://moodle.org
Sistemas Afectados:
- desde 4.2 hasta 4.2.2,
- desde 4.1 hasta 4.1.5,
- desde 4.0 hasta 4.0.10,
- desde 3.11 hasta 3.11.16,
- desde 3.9 hasta 3.9.23
- versiones anteriores sin soporte.
- Descripción
Varios investigadores han reportado 4 vulnerabilidades de severidad alta y varias bajas que se pueden consultar en la web de avisos de Moodle.
- Impacto
Vulnerabilidad: CVE-2023-5539.
Ejecución remota de código en la actividad Lesson, que por defecto solo estaba disponible para profesores y gestores.
Vulnerabilidad: CVE-2023-5540.
Ejecución remota de código en la actividad IMSCP, que por defecto solo estaba disponible para profesores y gestores.
Vulnerabilidad: CVE-2023-5544.
Los comentarios de la wiki requerían un saneamiento adicional y restricciones de acceso para prevenir posibles vulnerabilidades de XSS almacenado e IDOR.
Vulnerabilidad CVE-2023-5550.
En un entorno de alojamiento compartido que ha sido mal configurado para permitir el acceso al contenido de otros usuarios, un usuario de Moodle que también tiene acceso directo al servidor web fuera de la raíz, podría utilizar un archivo local para lograr la ejecución remota de código.
III. Referencia a soluciones, herramientas e información
Actualizar a la versión de Moodle, 4.2.3, 4.1.6, 4.0.11, 3.11.17 y 3.9.24. respectivamente, mediante el siguiente enlace: https://download.moodle.org/
Fuentes:
- Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Vulnerabilidad crítica en Moodle. 18 de octubre del 2023. Recopilado en: https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-moodle-2
- Moodle. Anuncios de seguridad. 17 de octubre del 2023. Recopilado en: https://moodle.org/security/
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124