Vulnerabilidades de inyección SQL (SQLi) y lectura arbitraria de archivos en Moodle

Se ha reportado un nuevo aviso de seguridad sobre tres vulnerabilidades que afectan a Moodle, que permitirían a un atacante realizar inyección SQL (SQLi), lectura arbitraria de archivos y ataques del tipo cross-site scripting (XSS) en el sistema afectado. 

Las vulnerabilidades reportadas se componen de 3 (tres) de severidad “Alta”. Las mismas se detallan a continuación: 

  • CVE-2023-28329, de severidad “Alta”, sin una puntuación asignada aún. Esta vulnerabilidad se debe a una incorrecta validación del campo de perfil para los roles de profesores y gestores en Moodle. Esto permitiría a un atacante realizar inyección SQL (SQLi) en el sistema afectado. 
  • CVE-2023-28330, de severidad “Alta”, sin una puntuación asignada aún. Esta vulnerabilidad se debe a una falla de verificación en la función de copia de seguridad en Moodle. Esto permitiría a un atacante realizar lectura arbitraria de archivos en el sistema afectado. 
  • CVE-2023-28331, de severidad “Alta”, sin una puntuación asignada aún. Esta vulnerabilidad se debe a una falla de verificación del enlace automático de la base de datos en Moodle. Esto permitiría a un atacante realizar ataques del tipo cross-site scripting (XSS) en el sistema afectado. 

Las versiones afectadas son: 

  • Moodle, versiones 4.1 a 4.1.1, 4.0 a 4.0.6, 3.11 a 3.11.12 y 3.9 a 3.9.19 y versiones anteriores sin soporte. 

Recomendamos instalar las actualizaciones correspondientes provistas por Moodle en el siguiente enlace: 

Referencias:  

Compartir: