Cabecera-v2-web.jpg

Actualizaciones de seguridad para Moodle abordan vulnerabilidades de riesgo alto y bajo


Moodle es una plataforma de aprendizaje diseñada para proporcionarle a educadores, administradores y estudiantes un sistema integrado único y robusto para crear ambientes de aprendizaje personalizados. En términos más técnicos, es un sistema web dinámico creado para gestionar entornos de enseñanza virtual, basado en tecnología PHP y bases de datos MySQL.

El primer punto fuerte de Moodle es que es un software libre que se distribuye bajo la licencia GPL (General Public License). Esto significa que cualquier persona o institución puede hacer uso de él y adaptarlo a sus necesidades, además cuenta con muchas más ventajas:

  • Intuitiva y fácil de usar,
  • Flexible y personalizable,
  • Escalable a cualquier tamaño,
  • Robusta y privada.

Esta plataforma de aprendizaje, es una de la más utilizadas en nuestro país por las universidades, colegios, centros de capacitaciones, etc.

¿Qué pasó?

Recientemente se ha descubierto tres vulnerabilidades en la plataforma Moodle, las cuales han sido identificadas y catalogadas como CVE-2020-1755 de riesgo alto, CVE-2020-1756 y CVE-2020-1754 de riesgo bajo.

Estas fallas afectan a la Moodle en sus versiones:

  • 3.8 hasta la 3.8.1,
  • 3.7 hasta la 3.7.4,
  • 3.6 hasta la 3.6.8,
  • 3.5 hasta la 3.5.10 y
  • Todas las versiones anteriores sin soporte.

El CVE-2020-1755, se da debido a un error en los encabezados X-Forward-For (un estándar que permite identificar el origen de la dirección IP de un cliente conectado a un servidor web a través de un proxy HTTP o un balanceador de carga), el cual podría permitir a un atacante remoto suplantar la dirección ip de un usuario y así lograr evadir la comprobación. La explotación exitosa de esta vulnerabilidad permitiría a un atacante remoto, revelar información confidencial o inyectar código.

Mientras que el CVE-2020-1756, se da debido a un escape de entrada insuficiente a la herramienta de administración webrunner de PHP, la cual podría permitir a un usuario administrador que no cuente con acceso al CLI (command-line interface) del servidor, obtener acceso al mismo.

Por último el CVE-2020-1754, permite a los usuarios que no cuenten con el permiso de "acceder a todos los grupos" ver el historial de calificaciones de todos los usuarios de la plataforma y no sólo el historial de calificaciones de los usuarios del grupo al que pertenecen.

Recomendaciones:

Aplicar los parches de seguridad, tan pronto como sea posible, en este caso las fallas se abordan en:

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11