Moodle
ha publicado 15 alertas de seguridad en
las que se corrigen vulnerabilidades con diversos efectos, desde los
habituales XSS hasta inyección de código. Se ven afectadas todas las ramas
soportadas 2.7, 2.6, 2.5 y anteriores versiones ya fuera de soporte.
Moodle es una popular plataforma
educativa de código abierto que permite a los educadores crear y gestionar
tanto usuarios como cursos de modalidad e-learning. Además proporciona
herramientas para la comunicación entre formadores y alumnos.
Se han publicado 15 boletines de
seguridad (del MSA-14-0035 al MSA-14-0049), entre ellos seis considerados como
serios. Estos podían permitir ataques Cross Site Scripting (XSS), Cross Site
Request Forgery (CSRF), revelar información y eludir restricciones de
seguridad.
Los identificadores asignados
comprenden del CVE-2014-7830 al CVE-2014-7838 y del CVE-2014-7845 al
CVE-2014-7848, aunque un par de vulnerabilidades aun está pendientes de
asignación.
Las versiones 2.8, 2.7.3, 2.6.6 y
2.5.9 solucionan todas las vulnerabilidades. Se encuentran disponibles para su
descarga desde la página oficial de Moodle.
Más información:
Moodle downloads
MSA-14-0035: Headers not added to some AJAX
scripts
MSA-14-0036: XSS in mapcourse script in
Feedback module
MSA-14-0037: Weak temporary password generation
MSA-14-0038: Hidden grade information exposed
by web services
MSA-14-0039: Insufficient access check in LTI
module
MSA-14-0040: Information leak in Database
activity module
MSA-14-0041: Lack of capability check in tags
list access
MSA-14-0042: Lack of access check in IP lookup
functionality
MSA-14-0043: Lack of group check in web service
for Forum
MSA-14-0044: Hardware path disclosed in the
error message
MSA-14-0045: XSS file upload possible through
web service
MSA-14-0046: CSRF in LTI module
MSA-14-0047: Possible data loss in Wiki
activity
MSA-14-0048: CSRF in forum tracking toggle
MSA-14-0049: Possible to print arbitrary
message to user by modifying URL
Juan Sánchez
