De Hispasec – Una al Día: Múltiples vulnerabilidades en Moodle (23/03/2016)

Publicado el 24/03/2016 por Hector Suarez Planas
Múltiples vulnerabilidades en Moodle

miércoles, 23 de marzo de 2016

Moodle ha publicado 10 alertas de seguridad en las que se corrigen vulnerabilidades con diversos efectos, desde los habituales XSS hasta saltos de restricciones. Se ven afectadas todas las ramas soportadas 2.7, 2.8, 2.9, 3.0, y anteriores versiones ya fuera de soporte.

Moodle-logo

Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

Se han publicado un total de 10 boletines de seguridad (del MSA-16-0003 al MSA-16-0012) que corrigen otras tantas vulnerabilidades de carácter leve. Estos errores de seguridad podrían permitir ataques Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), revelación de información, elusión de restricciones, y obtención de permisos adicionales.

Los identificadores asignados a las vulnerabilidades comprenden del CVE-2016-2151 al CVE-2016-2159 y CVE-2016-2190.

Las versiones 2.7.13, 2.8.11, 2.9.5 y 3.0.3 solucionan todas las vulnerabilidades. Se encuentran disponibles para su descarga desde el sitio oficial de Moodle.

http://download.moodle.org/

Más información:

Moodle downloads

http://download.moodle.org/

MSA-16-0003: Incorrect capability check when displaying users emails in

Participants list

https://moodle.org/mod/forum/discuss.php?d=330173

MSA-16-0004: XSS from profile fields from external db

https://moodle.org/mod/forum/discuss.php?d=330174

MSA-16-0005: Reflected XSS in mod_data advanced search

https://moodle.org/mod/forum/discuss.php?d=330175

MSA-16-0006: Hidden courses are shown to students in Event Monitor

https://moodle.org/mod/forum/discuss.php?d=330176

MSA-16-0007: Non-Editing Instructor role can edit exclude checkbox in

Single View

https://moodle.org/mod/forum/discuss.php?d=330177

MSA-16-0008: External function get_calendar_events return events that

pertains to hidden activities

https://moodle.org/mod/forum/discuss.php?d=330178

MSA-16-0009: CSRF in Assignment plugin management page

https://moodle.org/mod/forum/discuss.php?d=330179

MSA-16-0010: Enumeration of category details possible without authentication

https://moodle.org/mod/forum/discuss.php?d=330180

MSA-16-0011: Add no referrer to links with _blank target attribute

https://moodle.org/mod/forum/discuss.php?d=330181

MSA-16-0012: External function mod_assign_save_submission does not check

due dates

https://moodle.org/mod/forum/discuss.php?d=330182

Juan José Ruiz

jruiz@hispasec.com

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Actualizaciones, Moodle, Plataformas Educativas, Seguridad, Vulnerabilidades. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *