Con fecha 20 de septiembre del 2022 la plataforma de formación Moodle, sistema de gestión de aprendizaje gratuito y de código abierto escrito en PHP1,  y distribuido bajo la Licencia Pública General GNU.2, ha dado a conocer actualizaciones de seguridad que corrigen varias vulnerabilidades de Alta peligrosidad.

Productos afectados:

• Desde la versión 4.0 hasta la versión 4.0.3;
• Desde la versión 3.11 hasta la versión 3.11.9;
• Desde la versión 3.9 hasta la versión 3.9.16;
• Todas las versiones anteriores sin soporte.

Descripción:

•  El renderizado recursivo de los template helpers de Mustache que contienen la entrada del usuario podría, en algunos casos, provocar un XSS almacenado o que una página no se cargue.
• Se identificó un riesgo de ejecución remota de código al restaurar archivos de copia de seguridad procedentes de Moodle 1.9.

Recomendaciones: 

Actualizar a las siguientes versiones de Moodle:

• Moodle 4.0;
• Moodle 3.11.10;
• Moodle 3.9.17.

Importante: antes de hacer este tipo de acciones en entornos de producción es recomendable realizar las pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.

Referencias:

• MSA-22-0023: Stored XSS and page denial of service risks due to recursive rendering in Mustache template helpers: https://moodle.org/mod/forum/discuss.php?d=438392
• MSA-22-0024: Remote code execution risk when restoring malformed backup file from Moodle 1.9: https://moodle.org/mod/forum/discuss.php?d=438393
• MSA-22-0025: Minor SQL injection risk in admin user browsing: https://moodle.org/mod/forum/discuss.php?d=438394
• MSA-22-0026: No groups filtering in H5P activity attempts report: https://moodle.org/mod/forum/discuss.php?d=438395