Se han reportado 4 vulnerabilidades de severidad alta, que permitirían a un usuario autenticado sin los permisos correspondientes ejecutar código remoto.
- La vulnerabilidad reportada CVE-2023-5539 de severidad alta, permitirá la ejecución de código remoto en la actividad Lesson, que solo está disponible para profesores y gestores.
- La vulnerabilidad reportada CVE-2023-5540 de severidad alta, permitirá la ejecución de código remoto en la actividad IMSCP, que solo está disponible para profesores y gestores.
- La vulnerabilidad reportada CVE-2023-5544 de severidad alta, permitirá la ejecución de XSS almacenado y IDOR.
- La vulnerabilidad reportada CVE-2023-5550 de severidad alta, en entornos de alojamiento compartido mal configurados, que permitirá el acceso al contenido de otros usuarios.
Las versiones afectadas son:
- desde 4.2 hasta 4.2.2
- desde 4.1 hasta 4.1.5
- desde 4.0 hasta 4.0.10
- desde 3.11 hasta 3.11.16
- desde 3.9 hasta 3.9.23
- versiones anteriores sin soporte
Recomendamos actualizar a las versiones 4.2.3, 4.1.6, 4.0.11, 3.11.17 y 3.9.24
Referencias: