El equipo de desarrollo de Moodle LMS acaba de publicar una actualización de seguridad que corrige seis vulnerabilidades de carácter crítico y que afectan a varias versión de esta herramienta para la gestión de contenidos educativos.
En total se han corregido 12 vulnerabilidad, de las cuales, como ya hemos comentado, 6 son de carácter crítico y podrían comprometer la integridad de nuestra instalación. Además se han corregido más de 30 bugs que habían sido reportados en versiones anteriores.
Las vulnerabilidades que soluciona esta actualización son:
- Inyección de código SQL.- MSA-21-0020.- Crítico.- Riesgo de inyección de código SQL en la librería encargada de recuperar los cursos en los que se encuentra inscrito un usuario.
- Inyección de código SQL.- MSA-21-0021.- Crítico.- Riesgo de inyección de código SQL en la librería encarga de recuperar los cursos más recientes de un usuario.
- Ejecución de código remoto.- MSA-21-0022.- Crítico.- Se podría realizar un ataque mediante la inyección de código remoto a través del plugin de autenticación Shibboleth. La amenaza se ve mitigada por el hecho de que este plugin está desactivado por defecto en la instalación de Moodle.
- Denegación de servicio.- MSA-21-0023.- Crítico.- Posible denegación de servicio a través de la URL del repositorio de archivos como consecuencia de una inadecuada gestión de la recursividad de la petición.
- SSFR (Server-side request forgery) Ciego.- MSA-21-00.24.- Crítico.- Una gestión deficiente de las redirecciones podría hacer posible una derivación ciega hacia puertos bloquedos.
- Borrado de mensajes de otros usuarios.- MSA-21-0025.- Crítico.- El servicio de mensajes web permitía el borrado de mensajes de otros usuarios.
- XSS (Cross-site Scripting) en la lista de tokens de servicios web.- MSA-21-0026.- Baja.- El número de identificación ID mostrado en al lista de tokens de servicios web permitiría un ataque de tipo XSS (Cross-site scripting) almacenado, por lo que ha sido necesario sanitizar dicho campo.
- XSS (Cross-site Scripting) en la pantalla de anulación de formulario.- MSA-21-0027.- Baja.- El número de identificación mostrado en la pantalla de anulación de cuestionario permitiría un posible ataque de tipo XSS.
- Anulación suscripción al calendario de otros usuarios a través de IDOR.- MSA-21-0028.- Baja.- Una insuficiente capacidad de chequeo, permitiría a un usuario eliminar las URLs para suscribirse a los calendarios a otros usuarios.
- XSS (Cross-site scripting) almacenado al exportar datos en formato HTML.- MSA-21-0029.- Baja.- La exposición del número de identifación ID al exportar datos en formato HTML podría permitir en determinadas circunstancias realizar un ataque del tipo XSS almacenado.
- Pishing en el registro automático de usuarios.- MSA-21-0030.- Baja.- El nombre de usuario requerido en el mail de conformación del auto-registro de usuarios podría se provechado para la realización de un ataque phishing.
- Última línea oculta en los mails de notificación en HTML.- MSA-21-0031.- Baja.- En algunas circunstacias, los mensajes contenidos en los mail de notificaciones pueden tener el enlace para volver al contenido original oculto, lo cual podría suponer un riesgo de phishing.
Para corregir estos problemas se han publicado las siguientes actualizaciones:
Podemos conocer todos los detalles sobre estas vulnerabilidades y las actualizaciones que se han liberado para corregirlas en el sitio web de Moodle y en la web de INCIBE CERT.