Boletín de Seguridad UNAM-CERT-2022-005 Actualizaciones de seguridad liberadas para Moodle
Fecha liberación:
24/01/2022
Fuente:
https://moodle.org/mod/forum/view.php?id=7128
Riesgo:
Crítico
Descripción
Investigadores reportan 4 vulnerabilidades que afectan diversas versiones de Moodle. La versión 3.11.5 de Moodle soluciona los problemas de seguridad.
Sistemas afectados
- Entre la versión 3.11 y 3.11.4 de Moodle
- Entre la versión 3.10 y 3.10.8 de Moodle
- Entre la versión 3.9 y 3.9.11 de Moodle
- Versiones anteriores sin soporte
Impacto
- MSA-22-0001 (CVE-2022-0332): riesgo de inyección SQL (SQLi) en el código que obtiene los intentos de usuario de las actividades que usen H5P
- MSA-22-0002 (CVE-2022-0333): la función calendar:manageentries permite el acceso y modificación a cualquier evento del calendario
- MSA-22-0003 (CVE-2022-0334): debido a insuficientes comprobaciones en gradereport/user:view podría hacer que los usuarios accedieran a su informe de calificaciones para cursos en los que no tenían la capacidad
- MSA-22-0004 (CVE-2022-0335): riesgo de falsificación de petición en sitios cruzados (CSRF, Cross Site Request Forgery) en la funcionalidad de "eliminar alineación de insignia (badges)" debido a no incluía la verificación de token
Solución
- Actualizar a la última versión 3.11.5
- Si utiliza Moodle entre la versión 3.11 y 3.11.4, 3.10 y 3.10.8 o 3.9 y 3.9.11, actualizar a Moodle 3.11.5, 3.10.9 y 3.9.12 según corresponda
En caso de utilizar una versión de Moodle que llegó a su final de ciclo de vida y no reciben actualizaciones de seguridad, se recomienda actualizar inmediatamente.
Referencias
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración o traducción y revisión de este Documento a:
- Sergio Anduin Tovar Balderas (anduin dot tovar at cert dot unam dot mx)
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at cert.unam.mx
phishing at cert.unam.mx
https://www.cert.org.mx
https://www.cert.unam.mx
Tel: 56 22 81 69