Alerta Masiva de Ciberseguridad por múltiples vulnerabilidades en Moodle
- 29/03/2022
- 188
Los investigadores Chris Pratt, Andrew Lyons y Sara Arjona, especialistas de la herramienta de gestión de aprendizaje de Moodle, han reportado 5 vulnerabilidades: 1 de severidad crítica y 4 bajas, por las que un atacante podría realizar una inyección SQL, borrar cuentas de usuario, configurar las insignias de los cursos con los criterios de los campos del perfil y explotar vulnerabilidades en las librerías PHPMailer y CKEditor.
Productos afectados:
- de la 3.11 a la 3.11.5;
- de la 3.10 a la 3.10.9;
- de la 3.9 a la 3.9.12;
- versiones anteriores no soportadas.
Detalles:
Se identificó una vulnerabilidad de inyección SQL en el código de badges (insignias) relacionado con la configuración de criterios. Esta vulnerabilidad solo es accesible para los profesores/gestores/administradores por defecto, ya que requiere la capacidad de añadir y activar los criterios de las insignias.
Se ha asignado el identificador CVE-2022-0983 para esta vulnerabilidad crítica.
Para 2 de las vulnerabilidades de severidad baja se han asignado los identificadores CVE-2022-0985 y CVE-2022-0984; las otras 2 no tienen CVE asignado.
Recomendaciones:
Actualizar a las versiones 3.11.6, 3.10.10 y 3.9.13, respectivamente.
Referencias:
- https://moodle.org/mod/forum/discuss.php?d=432947
- https://moodle.org/mod/forum/discuss.php?d=432948
- https://moodle.org/mod/forum/discuss.php?d=432949
- https://moodle.org/mod/forum/discuss.php?d=432950
- https://moodle.org/mod/forum/discuss.php?d=432951