Se han emitido varias alertas de seguridad en el Learning Management System LMS Moodle, algunas de ellas de gravedad alta, por lo que se recomienda su más pronta actualización.
En concreto se han liberado las actualizaciones de Moodle 3.9.2, 3.8.5, 3.7.8 y 3.5.14, las cuales, además de solucionar las vulnerabilidades detectadas y que vamos a comentar a continuación, incorporan la solución a diversos bugs que han sido reportados en versiones anteriores.
Los problemas de seguridad que son solucionados en estas nuevas versiones de la herramienta son:
- Prevención de un ataque XSS (Cross-site Scripting) por medio de una mejor sanitización (limpiar, ocultar o proteger datos sensibles de un campo o una cadena determinada) del campo de perfil de usuario moodlenetprofile.- Gravedad alta.
- Prevención de un ataque XSS Reflejado mediante una mejora de la sanitización en el registro de tareas de administración. Gravedad alta.
- Escalado de privilegios en los usuarios con el permiso "Acceder como" ("Log in as") dentro de un determinado curso, lo cual les puede permitir el acceso al sitio con el rol de administrador. Gravedad baja.
- Posible denegación de servicio al no comprobarse adecuadamente la cuota asignada a los usuarios para la subida de archivos cuanto éstos están comprimidos, lo cual puede provocar un problema en la prestación del servicio. Gravedad alta.
- Se ha comprobado que es posible incluir código JavaScript en los capítulos de libro cuando son introducidos en la sección "Añadir nuevo capítulo". Si bien esta funcionalidad sólo está disponible para aquellos usuarios que disponen de privilegios de "Profesor", se ha elevado una alerta de seguridad. Gravedad baja.
Como ya hemos comentado anteriormente, además de estos problemas de seguridad se han incorporado las correcciones a un buen número de problemas que han sido reportados y se han añadido mejoras menores, tanto generales como de accesibilidad.
Dada la gravedad de algunas de las vulnerabilidad que han sido detectadas, desde el equipo de desarrollo de Moodle nos recomiendan actualizar la herramienta lo antes posible.
El problema ha sido detectado en tiempo y forma y se ha publicado una actualización que lo soluciona. Ahora sólo está en nuestra mano como administradores del sistema el aplicarlas para proteger nuestra instalación y a nuestros usuarios. Sólo nos llevará unos minutos. No lo dejes pasar.
Podemos encontrar toda la información relativa a esta actualización en el sitio web de Moodle.