Fecha de publicación: marzo 18, 2021 1:08 pm Nivel de importancia: Alta
Sistemas Afectados
- Moodle desde la versión 3.10 a la 3.10.1
- Moodle desde la versión 3.9 a la 3.9.4
- Moodle desde la versión 3.8 a la 3.8.7
- Moodle desde la versión 3.5 a la 3.5.16
Descripción
Moodle ha publicado varias vulnerabilidades de su herramienta de gestión de aprendizaje, donde se encuentran 2 vulnerabilidades criticas y 5 de severidad baja. Las vulnerabilidades podrían permitir que un atacante realice ataques de tipo XSS o SSRF.
Referencia
- CVE-2021-20279
- CVE-2021-20280
- MSA-21-0006: Stored XSS via ID number user profile field
- MSA-21-0007: Stored XSS and blind SSRF possible via feedback answer text
- MSA-21-0008: User full name disclosure within online users block
- MSA-21-0009: Bypass email verification secret when confirming account registration
- MSA-21-0010: Fetching a user’s enrolled courses via web services did not check profile access in each course
- MSA-21-0011: JQuery versions below 3.5.0 contain some potential vulnerabilities (upstream)
Solución
- Se recomienda a los administradores que utilicen las versiones afectadas que apliquen la última actualización disponible.