Se han reportado múltiples vulnerabilidades en el sistema de gestión de aprendizaje en línea Moodle, de las cuales 5 son de severidad «alta» que podrían permitir a usuarios no autorizados realizar acciones indebidas.
Productos Afectados:
- Versiones desde el 4.0 =< 4.3.3.
Las mismas están identificadas como:
CVE-2024-34003 (CVSSv3 de 8.5, severidad alta), esta vulnerabilidad se debe a una configuración incorrecta del entorno de alojamiento compartido que permite el acceso al contenido de otros usuarios. Esto podría permitir a un actor malicioso subir una copia de seguridad modificada de un módulo de taller que contenga código malicioso.
CVE-2024-33996: (CVSSv3 de 8.1, severidad alta), esta vulnerabilidad se debe a una validación incorrecta de los tipos de eventos permitidos en un servicio web de calendario. Esto podría permitir a un actor malicioso crear eventos con tipos/audiencias para los que no tenían permiso para publicar.
CVE-2024-34002: (CVSSv3 de 8.1, severidad alta), esta vulnerabilidad afecta al entorno de alojamiento compartido que permitiría el acceso al contenido de otros usuarios. Esto podría permitir a un actor malicioso con acceso aprovechar esta vulnerabilidad para ejecutar código arbitrario en el servidor.
CVE-2024-34004: (CVSSv3 de 8.1, severidad alta), esta vulnerabilidad se debe a una configuración incorrecta del mod_wiki, un módulo de Apache que se utiliza para crear wikis. Esto podría permitir a un actor malicioso cargar un archivo de copia de seguridad wiki modificado que contenga código malicioso.
CVE-2024-34005: (CVSSv3 de 7.8, severidad alta), esta vulnerabilidad es causada por una configuración incorrecta del alojamiento compartido que permite a los usuarios acceder al contenido de otros usuarios. Esto podría permitir a un actor malicioso aprovechar esto para subir una copia de seguridad modificada de mod_data que contenga código malicioso.
Recomendación:
Actualizar los complementos afectados a las versiones más recientes que incluyen las correcciones de seguridad.
Referencias: