El equipo de desarrollo de Moodle acaba de anunciar que se encuentra disponible la actualización de seguridad Moodle 3.10.4 la cual soluciona varios problemas de seguridad que han sido detectado en la herramienta.
Esta actualización de seguridad soluciona varias vulnerabilidad que han sido detectadas en versiones anteriores, algunas de las cuales han sido catalogadas como de peligrosidad alta. Algunas de las vulnerabilidad detectadas más relevantes son:
- Peligrosidad alta.- Al exportar el contenido de un foro en formato CSV podría darse la posibilidad de recibir contenidos pertenecientes a otros foros o que se exportara la totalidad de los foros de todos los cursos.
- Peligrosidad alta.- Divulgación de datos de calificaciones no publicadas vía servicio web.
- Peligrosidad alta.- Posible inyección de código SQL en sitios con MNet Habilitado y configurado, a través de llamadas XML.RCP desde el connected peer host.
- Peligrosidad baja.- Vulnerabilidad de tipo Cross-site Scripting (XSS) almacenado como consecuencia de una falta de sanitización del ID de usuarios en el informe de calificación del cuestionario.
- Peligrosidad alta.- Posibilidad de Denegación de servicio (DDoS) al no respetar el área de borradores de subida de ficheros el número máximo de subida de archivos que puede realizar un usuario.
- Peligrosidad baja.- El registro de último acceso realizado por un usuario a través de la app móvil es mostrada en su página de perfil cuando éste sólo debería ser visualizada por aquellos usuarios con permisos determinados (por defecto, el usuario administrador).
- Peligrosidad baja.- Cross-site Scripting reflejado por una falta de sanitización de la URI de redireccionamiento de la autorización LTI.
- Peligrosidad alta.- Actualización de la librería H5P PHP incluida en Moodle a la última actualización la cual corrige una brecha de seguridad.
Para corregir dichas vulnerabilidad se han publicado las siguientes actualizaciones de seguridad:
Los desarrolladores de esta herramienta para la Gestión de Contenidos Educativos, LMS, han detectado y corregido las vulnerabilidades reportadas. Ahora sólo está en nuestra mano como gestores de un sitio que implementa esta herramienta instalar las actualizaciones que las corrigen con el fin de proteger nuestro sitio y a nuestros usuarios. No lo dejes para más tarde, sólo te llevará algunos minutos realizarlo.
Podemos encontrar toda la información relativa a esta vulnerabilidad en el sitio web de Moodle y en la página del INCIBE (Instituto Nacional de Ciberseguridad).