Se han reportado nuevos avisos de seguridad sobre múltiples vulnerabilidades que afectan a Moodle, que permitirían a un atacante realizar inyección de comandos SQL (SQLi), ejecución remota de código (RCE), ataques del tipo Cross-Site Scripting (XSS), entre otros.
Las vulnerabilidades reportadas se componen de 5 (cinco) de severidad “Alta”. Las principales se detallan a continuación:
- CVE-2023-40320, de severidad “Alta” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de validación de datos de entrada del usuario en el inicio de sesión OAuth 2 en Moodle. Esto permitiría a un atacante realizar ataques del tipo Cross-Site Scripting (XSS) almacenada en el sistema afectado.
- CVE-2023-40319, de severidad “Alta” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en la clasificación de informes de niveles en Moodle. Esto permitiría a un atacante realizar inyección SQL (SQLi) de manera limitada en el sistema afectado.
- CVE-2023-40317, de severidad “Alta” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en el análisis de la referencia del repositorio de archivos con formato incorrecto en Moodle. Esto permitiría a un atacante realizar ejecución remota de código (RCE) en el sistema afectado.
Se puede acceder al listado completo de vulnerabilidades aquí
Los productos afectados son:
- Moodle, versiones 4.2 a 4.2.1.
- Moodle, versiones 4.1 a 4.1.4.
- Moodle, versiones 4.0 a 4.0.9.
- Moodle, versiones 3.11 a 3.11.15.
- Moodle, versiones 3.9 a 3.9.22.
- Versiones anteriores no compatibles.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace:
Referencias:
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-moodle-1
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-40320
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-40319
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-40317
- https://moodle.org/mod/forum/discuss.php?d=449644
- https://moodle.org/mod/forum/discuss.php?d=449643
- https://moodle.org/mod/forum/discuss.php?d=449641
- https://download.moodle.org/releases/latest/