El equipo de desarrollo de Moodle LMS acaba de publicar una alerta de seguridad como consecuencia de múltiples vulnerabilidades detectadas en esta herramienta para la gestión de contenidos educativos LMS.
En concreto, se trata de cinco problemas de seguridad detectados, tres de los cuales han sido clasificados como de peligrosidad crítica. Las otras dos vulnerabilidades detectadas son de severidad baja.
- MSA-21-0038.- Peligrosidad crítica.- Ejecución de código remoto cuando se restaura archivos con copias de seguridad, como consecuencia de la mala formación de dichos archivos.
- MSA-21-0039.- Peligrosidad baja.- Actualizaciones de seguridad en la librería /lib/mlbackend/python/classes/procesor.php empleada en el módulo Moodle Analytics.
- MSA-21-0040.- Peligrosidad crítica.- Posible ataque de tipo Cross-site Scripting (XSS). Un parámetro URL utilizado para la identificación del tipo de archivo dentro de la herramienta de administración podría permitir a un posible atacante la realización de un ataque de tipo Cross-site Scripting reflejado.
- MSA-21-0041.- Peligrosidad crítica.- Posible ataque Cross-site request forgery (CSRF). La funcionalidad que permite "eliminar insignias relacionadas" no realiza una correcta sanitización del token empleado por lo que podría permitir un ataque del tipo Cross-site Request Forgery.
- MSA-21-0042.- Peligrosidad baja.- IDOR (Insecure Direct Object Reference) en el servicio web de calendario. Esta vulnerabilidad podría permitir a un usuario sin los permisos necesarios a eventos de otros usuarios del sistema.
Las versiones afectadas por estas vulnerabilidades son:
- De la 3.11 a la 3.11.3.
- De la 3.10 a la 3.10.7.
- De la 3.9 a la 3.9.10.
Para corregirlas se han publicado las siguientes actualizaciones en función de las versiones afectadas:
- 3.11.4.
- 3.10.8.
- 3.9.11.
Debido a la severidad de alguna de estos problemas de seguridad que han sido reportados, se recomienda encarecidamente a los administradores que implementan esta herramienta a su actualización. Las amenazas han sido identificadas y se han aplicado las correcciones necesarias para corregirlas. Ahora sólo está en nuestra mano aplicar dichas medidas para proteger nuestras aplicaciones y nuestros usuarios. No lo dejes para luego, puede ser demasiado tarde.
Podemos encontrar toda la información sobre estas alerta de seguridad en Moodle LMS en el sitio web de INCIBE.