Alertas de seguridad

Múltiples vulnerabilidades Moodle

Se han identificado multiples vulnerabilidades que ponen en riesgo la seguridad de Moodle, la herramienta de gestión de cursos para formación virtual.

A continuación, se describen las vulnerabilidades:

  • CVE-2020-14322: La vulnerabilidad existe debido a una validación insuficiente de la entrada proporcionada por el usuario en yui_combo. Un atacante remoto puede pasar una entrada especialmente diseñada a la aplicación y realizar un ataque de denegación de servicio (DoS). 
  • CVE-2020-14321: Esta vulnerabilidad permite a un atacante remoto escalar privilegios en el sistema. La vulnerabilidad existe debido a que la aplicación no impone restricciones de seguridad dentro de las inscripciones. Un atacante autenticado remoto con permiso del maestro puede escalar privilegios de rol de maestro a rol de administrador.
  • CVE-2020-14320: La vulnerabilidad existe debido a la desinfección insuficiente de los datos proporcionados por el usuario en el filtro de registros de tareas de administrador. Un atacante remoto puede engañar a la víctima para que siga un enlace y ejecute HTML arbitrario y un script en el navegador del usuario en el contexto de un sitio web vulnerable. La explotación exitosa de esta vulnerabilidad puede permitir que un atacante remoto robe información potencialmente confidencial, cambie la apariencia de la página web, realice ataques de phishing y drive-by-download.

Acciones recomendadas

Moodle recomienda actualizar a las siguientes versiones:

  • 9.1
  • 8.4
  • 7.7
  • 5.13