Moodle ha publicado 13 nuevas alertas de seguridad en las que se
corrigen otras tantas
vulnerabilidades con diversos efectos, desde los
habituales XSS hasta inyección de código. Se ven afectadas todas las
ramas soportadas (2.7, 2.6, 2.5 y 2.4) y anteriores, ya fuera de
mantenimiento de seguridad.
Moodle, es conocida y ampliamente utilizada como plataforma educativa de
código abierto que permite a los educadores crear y gestionar tanto
usuarios como cursos de modalidad e-learning. Además proporciona
herramientas para la comunicación entre formadores y alumnos.
Doce de los trece problemas anunciados son consideradas como serios, con CVE asociados del CVE-2014-3541 al CVE-2014-3553. Se incluyen diversas
vulnerabilidades de
Cross Site Scripting, XXE (XML External Entity) y de inyección de código.
Por otra parte un fallo en la autenticación Shibboleth podría permitir a
un usuario tomar control sobre las sesiones de otros usuarios. Una
vulnerabilidad podría permitir la obtención de nombres de usuario y
cursos mediante la manipulación de
"/user/edit.php" y otro problema en los foros podría permitir la escritura en grupos a los que no se tiene acceso.
Se han publicado las versiones 2.7.1, 2.6.4, 2.5.7 y 2.4.11 que
solucionan todos los problemas y pueden descargarse desde su página
oficial
Moodle.
