CSIRT Panamá Aviso 2023-10-24 Múltiples vulnerabilidades en Moodle

Posted By: CSIRT Panamá October 24, 2023

CSIRT Panamá Aviso 2023-10-24 Múltiples vulnerabilidades en Moodle

Gravedad:Alta                                                                                                                         

Fecha de publicación: octubre 24, 2023
Última revisión: octubre 24, 2023                                                                                   

Sitio web: https://moodle.org

Sistemas Afectados:

  • desde 4.2 hasta 4.2.2,
  • desde 4.1 hasta 4.1.5,
  • desde 4.0 hasta 4.0.10,
  • desde 3.11 hasta 3.11.16,
  • desde 3.9 hasta 3.9.23
  • versiones anteriores sin soporte.
  • Descripción

Varios investigadores han reportado 4 vulnerabilidades de severidad alta y varias bajas que se pueden consultar en la web de avisos de Moodle.

  1. Impacto

Vulnerabilidad: CVE-2023-5539.
Ejecución remota de código en la actividad Lesson, que por defecto solo estaba disponible para profesores y gestores.

Vulnerabilidad: CVE-2023-5540.

Ejecución remota de código en la actividad IMSCP, que por defecto solo estaba disponible para profesores y gestores. 

Vulnerabilidad: CVE-2023-5544.

Los comentarios de la wiki requerían un saneamiento adicional y restricciones de acceso para prevenir posibles vulnerabilidades de XSS almacenado e IDOR.

Vulnerabilidad CVE-2023-5550.

En un entorno de alojamiento compartido que ha sido mal configurado para permitir el acceso al contenido de otros usuarios, un usuario de Moodle que también tiene acceso directo al servidor web fuera de la raíz, podría utilizar un archivo local para lograr la ejecución remota de código.  


III. Referencia a soluciones, herramientas e información

Actualizar a la versión de Moodle, 4.2.3, 4.1.6, 4.0.11, 3.11.17 y 3.9.24. respectivamente, mediante el siguiente enlace: https://download.moodle.org/

Fuentes:

  1. Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Vulnerabilidad crítica en Moodle. 18 de octubre del 2023. Recopilado en: https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-moodle-2
  2. Moodle. Anuncios de seguridad. 17 de octubre del 2023. Recopilado en: https://moodle.org/security/

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124