Se acaba de publicar una alerta de seguridad en la herramienta Moodle para la cual se han habilitado las actualizaciones de seguridad 3.7.2, 3.6.6 y 3.5.8.
Las vulnerabilidad detectadas han sido calificadas como de gravedad media y consisten en:
- Si el modo de suscripción a un foro es "suscripción forzosa", el enlace de suscripción contiene una redirección abierta a enlaces externos.
- Dadas determinadas circunstancias, el token de acceso de usuario efectuado desde la app del móvil podría quedar abierto y por lo tanto ser usado por otros usuarios.
- Al crear un curso con una sola actividad, no funcionan correctamente las herramientas para la creación de dicha actividad.
- Se han efectuado diversas correcciones de seguridad en el paquete de analítica de Phyton Machine Learning.
- Cuando un usuario crea un curso, se le asigna automáticamente el rol de profesor con independencia de si este usuario tiene los permisos necesarios para tener este rol.
- En algunas plantillas, y bajo determinadas circunstancias, es posible inyectar código JavaScript en ellas.
El equipo de desarrollo de Moodle recomienda actualizar lo antes posible nuestra versión de la herramienta. Para ello se han publicado las actualización de mantenimiento y seguridad 3.7.2, 3.6.6 y 3.5.8 que solucionan estas brechas de seguridad, y además solucionan diversos bugs detectados en versiones anteriores e introducen diversas mejoras menores.
Podemos encontrar toda la información relativa a esta actualización en el sitio web de Moodle y del INCIBE, el Instituto Nacional de Ciberseguridad.