{"id":2298,"date":"2020-07-31T10:28:30","date_gmt":"2020-07-31T15:28:30","guid":{"rendered":"https:\/\/cert.pa\/?p=2298"},"modified":"2020-07-31T10:28:30","modified_gmt":"2020-07-31T15:28:30","slug":"csirt-panama-aviso-2020-07-29-moodle-actualizacion-de-seguridad-de-la-plataforma-moodle","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=2298","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2020-07-29 Moodle: Actualizaci\u00f3n de seguridad de la plataforma Moodle."},"content":{"rendered":"\n

CSIRT Panam\u00e1 Aviso 2020-07-29 Moodle: Actualizaci\u00f3n de seguridad de la plataforma Moodle. <\/p>\n\n\n\n

Gravedad: Alta
\nVulnerabilidades: CVE-2020-14320\/ CVE-2020-14321 \/ CVE-2020-14322
\nFecha de publicaci\u00f3n: Julio 29, 2020
\n\u00daltima revisi\u00f3n: Julio 29, 2020
\nPortal: https:\/\/moodle.org
\nSistemas Afectados: Diversas versiones de la plataforma Moodle.
\nI.Descripci\u00f3n
\nActualizaci\u00f3n de la plataforma Moodle en relaci\u00f3n a tres vulnerabilidades que permitir\u00edan a un atacante causar una denegaci\u00f3n de servicios, un ataque Cross-site Scripting o escalar privilegios en el sistema afectado.<\/p>\n\n\n\n

II.Impacto
\nVulnerabilidad: CVE-2020-14320
\nEl filtro en el registro de tareas del administrador requer\u00eda mayor sanitizaci\u00f3n para prevenir correctamente un riesgo de ataque Reflected XSS (Cross-site Scripting reflejado).
\nProductos Afectados: Moodle versiones 3.9, 3.8 \u2013 3.8.3 y 3.7 \u2013 3.7.6.
\nVulnerabilidad: CVE-2020-14321
\nEra posible para un profesor en su curso elevar privilegios en el mismo curso a privilegios del rol \u00abManager\u00bb.
\nProductos Afectados: Moodle versiones 3.9, 3.8 \u2013 3.8.3, 3.7 \u2013 3.7.6, 3.5 \u2013 3.5.12 y versiones anteriores no soportadas.
\nVulnerabilidad: CVE-2020-14322<\/p>\n\n\n\n

El m\u00f3dulo \u00abyui_combo\u00bb no limitaba la cantidad de archivos que pod\u00eda cargar, por lo que ahora se limita para mitigar un posible riesgo de denegaci\u00f3n de servicios.
\nProductos Afectados: Moodle versiones 3.9, 3.8 \u2013 3.8.3, 3.7 \u2013 3.7.6, 3.5 \u2013 3.5.12 y versiones anteriores no soportadas.<\/p>\n\n\n\n

III. Referencia a soluciones, herramientas e informaci\u00f3n
\nSe recomienda actualizar a las versiones 3.9.1, 3.8.4, 3.7.7 o 3.5.13, mediante su sitio oficial (https:\/\/download.moodle.org\/).
\nFuentes:
\n\uf0a7 Moodle. Security announcements. 20 de julio del 2020. Recopilado en: https:\/\/moodle.org\/mod\/forum\/discuss.php?d=407394
\n\uf0a7 Moodle. Security announcements. 20 de julio del 2020. Recopilado en: https:\/\/moodle.org\/mod\/forum\/discuss.php?d=407393
\n\uf0a7 Moodle. Security announcements. 20 de julio del 2020. Recopilado en: https:\/\/moodle.org\/mod\/forum\/discuss.php?d=407392
\n\uf0a7 Instituto de Ciberseguridad (INCIBE). M\u00faltiples vulnerabilidades en Moodle. 21 de julio del 2020. Recopilado en: https:\/\/www.incibe-cert.es\/alerta-temprana\/avisos-seguridad\/multiples-vulnerabilidades-moodle-10
\n\uf0a7 CSIRT Chile. 29 de julio del 2020. Vulnerabilidades. Recopilado en: https:\/\/www.csirt.gob.cl\/vulnerabilidades\/9vsa20-00280-01\/<\/p>\n\n\n\n

Informaci\u00f3n de contacto
\nCSIRT PANAMA
\nComputer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
\nE-Mail: info@cert.pa
\nPhone: +507 520-CERT (2378)
\nWeb: https:\/\/cert.pa
\nTwitter: @CSIRTPanama
\nKey ID: 16F2B124<\/p>\n","protected":false},"excerpt":{"rendered":"

CSIRT Panam\u00e1 Aviso 2020-07-29 Moodle: Actualizaci\u00f3n de seguridad de la plataforma Moodle. Gravedad: Alta Vulnerabilidades: CVE-2020-14320\/ CVE-2020-14321 \/ CVE-2020-14322 Fecha de publicaci\u00f3n: Julio 29, 2020 \u00daltima revisi\u00f3n: Julio 29, 2020 Portal: https:\/\/moodle.org Sistemas Afectados: Diversas…<\/p>\n","protected":false},"author":4,"featured_media":2299,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[72,128],"class_list":["post-2298","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad","tag-avisos-de-seguridad","tag-moodle"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2298","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2298"}],"version-history":[{"count":1,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2298\/revisions"}],"predecessor-version":[{"id":2300,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2298\/revisions\/2300"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/2299"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2298"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2298"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2298"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}