Se ha emitido una alerta de seguridad en Moodle 3.8 de peligrosidad alta que podría permitir realizar un ataque remoto que ejecutará código de manera arbitraria.
En concreto, la vulnerabilidad que ha sido detectada deriva de una falta de sanitización (ocultación o protección de datos sensibles) cuando se produce el resumen de las conversaciones que se producen a través del servicio de mensajería, lo que permitiría realizar un ataque del tipo Cross-site Scripting (XSS) que se almacenaría y ejecutaría de manera arbitraria.
Para solucionar dicho problema se ha ha publicado la versión Moodle 3.8.1 que soluciona dicha vulnerabilidad. Si no se pudiera aplicar inmediatamente dicha actualización, desde el equipo de desarrollo de Moodle recomiendan deshabilitar el servicio de mensajería.
La vulnerabilidad ha sido descubierta por el investigador Cid da Costa. Podemos encontrar toda la información sobre esta alerta de seguridad en el sitio web del INCIBE.