{"id":3587,"date":"2023-10-24T09:42:39","date_gmt":"2023-10-24T14:42:39","guid":{"rendered":"https:\/\/cert.pa\/?p=3587"},"modified":"2023-10-24T09:42:39","modified_gmt":"2023-10-24T14:42:39","slug":"csirt-panama-aviso-2023-10-24-multiples-vulnerabilidades-en-moodle","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=3587","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2023-10-24 M\u00faltiples vulnerabilidades en Moodle"},"content":{"rendered":"\n<p>CSIRT Panam\u00e1 Aviso 2023-10-24 M\u00faltiples vulnerabilidades en Moodle<\/p>\n\n\n\n<p>Gravedad:Alta\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/p>\n\n\n\n<p>Fecha de publicaci\u00f3n: octubre 24, 2023<br>\u00daltima revisi\u00f3n: octubre 24, 2023\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0<\/p>\n\n\n\n<p>Sitio web:\u00a0<a href=\"https:\/\/moodle.org\/\"><strong>https:\/\/moodle.org<\/strong><\/a><\/p>\n\n\n\n<p>Sistemas Afectados:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>desde 4.2 hasta 4.2.2,<\/li>\n\n\n\n<li>desde 4.1 hasta 4.1.5,<\/li>\n\n\n\n<li>desde 4.0 hasta 4.0.10,<\/li>\n\n\n\n<li>desde 3.11 hasta 3.11.16,<\/li>\n\n\n\n<li>desde 3.9 hasta 3.9.23<\/li>\n\n\n\n<li>versiones anteriores sin soporte.<\/li>\n\n\n\n<li>Descripci\u00f3n<br><br><\/li>\n<\/ul>\n\n\n\n<p>Varios investigadores han reportado 4 vulnerabilidades de severidad alta y varias bajas que se pueden consultar en la web de avisos de Moodle.<\/p>\n\n\n\n<ol class=\"wp-block-list\" type=\"I\">\n<li>Impacto<br><br><\/li>\n<\/ol>\n\n\n\n<p>Vulnerabilidad: CVE-2023-5539.<br>Ejecuci\u00f3n remota de c\u00f3digo en la actividad Lesson, que por defecto solo estaba disponible para profesores y gestores.<\/p>\n\n\n\n<p>Vulnerabilidad: CVE-2023-5540.<\/p>\n\n\n\n<p>Ejecuci\u00f3n remota de c\u00f3digo en la actividad&nbsp;<em>IMSCP<\/em>, que por defecto solo estaba disponible para profesores y gestores.&nbsp;<\/p>\n\n\n\n<p>Vulnerabilidad: CVE-2023-5544.<\/p>\n\n\n\n<p>Los comentarios de la wiki requer\u00edan un saneamiento adicional y restricciones de acceso para prevenir posibles vulnerabilidades de XSS almacenado e IDOR.<\/p>\n\n\n\n<p>Vulnerabilidad CVE-2023-5550.<\/p>\n\n\n\n<p>En un entorno de alojamiento compartido que ha sido mal configurado para permitir el acceso al contenido de otros usuarios, un usuario de Moodle que tambi\u00e9n tiene acceso directo al servidor web fuera de la ra\u00edz, podr\u00eda utilizar un archivo local para lograr la ejecuci\u00f3n remota de c\u00f3digo. &nbsp;<\/p>\n\n\n\n<p><br>III. Referencia a soluciones, herramientas e informaci\u00f3n<br><br><\/p>\n\n\n\n<p>Actualizar a la versi\u00f3n de Moodle, 4.2.3, 4.1.6, 4.0.11, 3.11.17 y 3.9.24. respectivamente, mediante el siguiente enlace: https:\/\/download.moodle.org\/<br><br><\/p>\n\n\n\n<p>Fuentes:<\/p>\n\n\n\n<ol class=\"wp-block-list\" type=\"1\">\n<li>Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Vulnerabilidad cr\u00edtica en Moodle. 18 de octubre del 2023. Recopilado en: <a href=\"https:\/\/www.incibe.es\/incibe-cert\/alerta-temprana\/avisos\/multiples-vulnerabilidades-en-moodle-2\">https:\/\/www.incibe.es\/incibe-cert\/alerta-temprana\/avisos\/multiples-vulnerabilidades-en-moodle-2<\/a><\/li>\n\n\n\n<li>Moodle. Anuncios de seguridad. 17 de octubre del 2023. Recopilado en: https:\/\/moodle.org\/security\/<\/li>\n<\/ol>\n\n\n\n<p>Informaci\u00f3n de contacto<br>CSIRT PANAMA<br>Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental<br>E-Mail: info@cert.pa<br>Phone: +507 520-CERT (2378)<br>Web: https:\/\/cert.pa<br>Twitter: @CSIRTPanama<br>Key ID: 16F2B124<\/p>\n","protected":false},"excerpt":{"rendered":"<p>CSIRT Panam\u00e1 Aviso 2023-10-24 M\u00faltiples vulnerabilidades en Moodle Gravedad:Alta\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Fecha de publicaci\u00f3n: octubre 24, 2023\u00daltima revisi\u00f3n: octubre 24, 2023\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Sitio web:\u00a0https:\/\/moodle.org Sistemas Afectados: desde 4.2 hasta 4.2.2, desde 4.1 hasta 4.1.5, desde 4.0 hasta&#8230;<\/p>\n","protected":false},"author":4,"featured_media":2103,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[],"class_list":["post-3587","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/3587","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3587"}],"version-history":[{"count":2,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/3587\/revisions"}],"predecessor-version":[{"id":3589,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/3587\/revisions\/3589"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/2103"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3587"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3587"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3587"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}