Los investigadores Chris Pratt, Andrew Lyons y Sara Arjona, especialistas de la herramienta de gestión de aprendizaje de Moodle, han reportado 5 vulnerabilidades: 1 de severidad crítica y 4 bajas, por las que un atacante podría realizar una inyección SQL, borrar cuentas de usuario, configurar las insignias de los cursos con los criterios de los campos del perfil y explotar vulnerabilidades en las librerías PHPMailer y CKEditor.

Productos afectados:

• de la 3.11 a la 3.11.5;
• de la 3.10 a la 3.10.9;
• de la 3.9 a la 3.9.12;
• versiones anteriores no soportadas.

Detalles:

Se identificó una vulnerabilidad de inyección SQL en el código de badges (insignias) relacionado con la configuración de criterios. Esta vulnerabilidad solo es accesible para los profesores/gestores/administradores por defecto, ya que requiere la capacidad de añadir y activar los criterios de las insignias.

Se ha asignado el identificador CVE-2022-0983 para esta vulnerabilidad crítica.

Para 2 de las vulnerabilidades de severidad baja se han asignado los identificadores CVE-2022-0985 y CVE-2022-0984; las otras 2 no tienen CVE asignado.

Recomendaciones:

Actualizar a las versiones 3.11.6, 3.10.10 y 3.9.13, respectivamente.

Referencias:

• https://moodle.org/mod/forum/discuss.php?d=432947
• https://moodle.org/mod/forum/discuss.php?d=432948
• https://moodle.org/mod/forum/discuss.php?d=432949
• https://moodle.org/mod/forum/discuss.php?d=432950
• https://moodle.org/mod/forum/discuss.php?d=432951