{"id":2102,"date":"2020-05-19T16:47:22","date_gmt":"2020-05-19T21:47:22","guid":{"rendered":"https:\/\/cert.pa\/?p=2102"},"modified":"2020-05-19T16:47:38","modified_gmt":"2020-05-19T21:47:38","slug":"csirt-panama-aviso-2020-05-19-moodle-actualizaciones-de-multiples-vulnerabilidades-que-afectan-al-sistema-de-gestion-de-aprendizaje-moodle","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=2102","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2020-05-19 Moodle: Actualizaciones de M\u00faltiples vulnerabilidades que afectan al sistema de gesti\u00f3n de aprendizaje Moodle."},"content":{"rendered":"\n

Gravedad:Alta                                                                                                                Vulnerabilidad: CVE-2020-10738 \/ CVE-2018-1999024
\nFecha de publicaci\u00f3n: Mayo 19, 2020
\n\u00daltima revisi\u00f3n: Mayo 19, 2020
\nPortal: https:\/\/moodle.org\/<\/p>\n\n\n\n

Sistemas Afectados:<\/strong>
\nVulnerabilidades de seguridad que afectan a todas las versiones de Moodle\nversiones 3.8 hasta la 3.8.2, 3.7 hasta la 3.7.5, 3.6 hasta la 3.6.9, 3.5 hasta\nla 3.5.11 y versiones anteriores.<\/p>\n\n\n\n

I. Descripci\u00f3n<\/strong>
\nActualizaci\u00f3n del sistema de gesti\u00f3n de aprendizaje Moodle referente a\nm\u00faltiples vulnerabilidades que afectan a sus productos.<\/p>\n\n\n\n

II. Impacto<\/strong><\/p>\n\n\n\n

Vulnerabilidad:<\/strong> CVE-2020-10738<\/p>\n\n\n\n

Debido a la insuficiente validaci\u00f3n de datos\ningresados por el usuario al procesar paquetes SCORM, un atacante remoto podr\u00eda\nsubir paquetes especialmente dise\u00f1ados, que una vez agregados al curso, se\npodr\u00e1n comunicar con el servicio web, logrando comprometer completamente al\nsistema afectado mediante la ejecuci\u00f3n de c\u00f3digo remoto. <\/strong><\/p>\n\n\n\n

Vulnerabilidad:<\/strong> CVE-2018-1999024<\/p>\n\n\n\n

Debido a la insuficiente sanitizaci\u00f3n de datos\ningresados por el usuario en el macro \u201cunicode{}\u201d en \u201cMathJax\u201d, un atacante\nremoto podr\u00eda enga\u00f1ar a una v\u00edctima para que acceda a un enlace especialmente\ndise\u00f1ado, logrando ejecutar HTML y c\u00f3digo JavaScript en el contexto del sitio\nvulnerable. La explotaci\u00f3n de esta vulnerabilidad XSS (Cross-site scripting)\npermitir\u00eda al atacante el robo de credenciales, cambiar la apariencia del sitio\nweb y hasta conducir al usuario para descargar malware.<\/p>\n\n\n\n

III. Referencia a soluciones, herramientas e\ninformaci\u00f3n<\/strong><\/p>\n\n\n\n

Actualizar a la versi\u00f3n 3.8.3, 3.7.6, 3.6.10 \u00f3\n3.5.12 de Moodle, mediante su sitio web (https:\/\/download.moodle.org\/)<\/p>\n\n\n\n

Fuentes:<\/strong><\/p>\n\n\n\n