CSIRT Panamá Aviso 2023-12-26 Moodle: Múltiples vulnerabilidades en Moodle
Gravedad: Alta
Fecha de publicación: diciembre 26, 2023
Última revisión: diciembre 26, 2023
Sitio web: https://moodle.org/
Sistemas Afectados:
- 4.3;
- desde 4.2 hasta 4.2.3;
- desde 4.1 hasta 4.1.6;
- desde 4.0 hasta 4.0.11;
- desde 3.11 hasta 3.11.17;
- desde 3.9 hasta 3.9.24;
- versiones anteriores sin soporte.
- Descripción
Varios investigadores han reportado 4 vulnerabilidades de severidad crítica y varias bajas que se pueden consultar en la web de avisos de Moodle.
- Impacto
Vulnerabilidad: CVE-2023-6661
Se ha identificado un riesgo de ejecución remota de código (RCE) en logstore. Por defecto, sólo está disponible para los administradores.
Vulnerabilidad: CVE-2023-6662
Unas limitaciones de recursividad insuficientes podrían provocar una condición de denegación de servicio (DoS) en el descargador de URL.
Vulnerabilidad: CVE-2023-6663
Los bloques de curso con vulnerables a una ejecución remota de código. Por defecto, sólo está disponible para profesores y gestores.
Vulnerabilidad: CVE-2023-6670
El parámetro classname de la página de tareas ad-hoc del administrador requiere una sanitización adicional para evitar una vulnerabilidad de Cross-Site Scripting (XSS) reflejado.
III. Referencia a soluciones, herramientas e información
Actualizar a la versión de Moodle, respectivamente: 4.3.1, 4.2.4, 4.1.7, 4.0.12, 3.11.18 y 3.9.25. a través del sitio: https://download.moodle.org/
Fuentes:
- Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad. Múltiples vulnerabilidades en Moodle. Recopilado en: https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-moodle-3
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124