Boletín de Seguridad UNAM-CERT-2022-005 Actualizaciones de seguridad liberadas para Moodle

Fecha liberación: 
24/01/2022
Fuente: 
https://moodle.org/mod/forum/view.php?id=7128
Riesgo: 
Crítico

 

Descripción

Investigadores reportan 4 vulnerabilidades que afectan diversas versiones de Moodle. La versión 3.11.5 de Moodle soluciona los problemas de seguridad.

Sistemas afectados

  • Entre la versión 3.11 y 3.11.4 de Moodle
  • Entre la versión 3.10 y 3.10.8 de Moodle
  • Entre la versión 3.9 y 3.9.11 de Moodle
  • Versiones anteriores sin soporte

Impacto

  • MSA-22-0001 (CVE-2022-0332): riesgo de inyección SQL (SQLi) en el código que obtiene los intentos de usuario de las actividades que usen H5P
  • MSA-22-0002 (CVE-2022-0333): la función calendar:manageentries permite el acceso y modificación a cualquier evento del calendario
  • MSA-22-0003 (CVE-2022-0334): debido a insuficientes comprobaciones en gradereport/user:view podría hacer que los usuarios accedieran a su informe de calificaciones para cursos en los que no tenían la capacidad
  • MSA-22-0004 (CVE-2022-0335): riesgo de falsificación de petición en sitios cruzados (CSRF, Cross Site Request Forgery) en la funcionalidad de "eliminar alineación de insignia (badges)" debido a no incluía la verificación de token

Solución

  • Actualizar a la última versión 3.11.5
  • Si utiliza Moodle entre la versión 3.11 y 3.11.4, 3.10 y 3.10.8 o 3.9 y 3.9.11, actualizar a Moodle 3.11.5, 3.10.9 y 3.9.12 según corresponda

En caso de utilizar una versión de Moodle que llegó a su final de ciclo de vida y no reciben actualizaciones de seguridad, se recomienda actualizar inmediatamente.
 

Referencias

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración o traducción y revisión de este Documento a:

  • Sergio Anduin Tovar Balderas (anduin dot tovar at cert dot unam dot mx)

 

UNAM-CERT

Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at cert.unam.mx
phishing at cert.unam.mx
https://www.cert.org.mx
https://www.cert.unam.mx
Tel: 56 22 81 69