Vulnerabilidades de Cross-Site Scripting (XSS) e inyección de SQL (SQLi) en Moodle

21/08/2023 Noticias 0

Se han reportado nuevos avisos de seguridad sobre múltiples vulnerabilidades que afectan a Moodle, que permitirían a un atacante realizar inyección de comandos SQL (SQLi), ejecución remota de código (RCE), ataques del tipo Cross-Site Scripting (XSS), entre otros. 

Las vulnerabilidades reportadas se componen de 5 (cinco) de severidad “Alta”. Las principales se detallan a continuación: 

  • CVE-2023-40320, de severidad “Alta” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de validación de datos de entrada del usuario en el inicio de sesión OAuth 2 en Moodle. Esto permitiría a un atacante realizar ataques del tipo Cross-Site Scripting (XSS) almacenada en el sistema afectado. 
  • CVE-2023-40319, de severidad “Alta” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en la clasificación de informes de niveles en Moodle. Esto permitiría a un atacante realizar inyección SQL (SQLi) de manera limitada en el sistema afectado. 
  • CVE-2023-40317, de severidad “Alta” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en el análisis de la referencia del repositorio de archivos con formato incorrecto en Moodle. Esto permitiría a un atacante realizar ejecución remota de código (RCE) en el sistema afectado. 

Se puede acceder al listado completo de vulnerabilidades aquí 

Los productos afectados son:  

  • Moodle, versiones 4.2 a 4.2.1. 
  • Moodle, versiones 4.1 a 4.1.4. 
  • Moodle, versiones 4.0 a 4.0.9. 
  • Moodle, versiones 3.11 a 3.11.15. 
  • Moodle, versiones 3.9 a 3.9.22. 
  • Versiones anteriores no compatibles. 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace: 

Referencias: 

Compartir: