Hola a tod@s!
Se han publicado siete boletines de seguridad para Moodle que solucionan
vulnerabilidades que podrían permitir la revelación de información
sensible, secuestro de sesión, eludir restricciones de seguridad, y
realizar ataques XSS.
Moodle es una aplicación web del tipo LMS (Learning Management System),
escrita en PHP que se utiliza para la gestión de cursos en línea. Está
publicada bajo licencia GNU GPL y ha sido traducida a más de 91 idiomas.
Además de la comunicación entre profesorado y alumnos, dispone de
distintas herramientas, como la subida de ficheros, calendario y foros.
Los siete boletines de seguridad de Moodle que se han dado a conocer son
los siguientes:
* MSA-12-0057 (CVE-2012-5471): cuando un usuario inicia sesión en
Dropbox a través del repositorio de Moodle, dicha sesión permanece
abierta hasta que se cierra el navegador a pesar de que el usuario se
haya desconectado. Esto podría permitir que otros usuarios pudiesen
acceder y utilizar los datos del primero. Ha sido descubierta por
Alexander Bias.
* MSA-12-0058 (CVE-2012-5472): existe un fallo en 'formslib.php' que
podría permitir a un usuario remoto autenticado eludir restricciones de
acceso modificando datos de un campo de un formulario ya enviado. El
fallo ha sido reportado por Rossiani Wijaya.
* MSA-12-0059 (CVE-2012-5473): un error de falta de filtrado en el
módulo 'Database activity' podría permitir a un usuario ver la
información de entradas creadas por miembros de otros grupos a los que
él no pertenece a través de una búsqueda avanzada. Richard Meyer ha
descubierto esta vulnerabilidad.
* MSA-12-0060 Petr Škoda Jenny Donnelly han descubierto un error de
falta de comprobación en la librería YUI 2 que podría permitir llevar a
cabo ataques Cross-Site Scripting y ejecutar código HTML y javascript
arbitrario en el navegador de un usuario en el contexto de un sitio
afectado.
* MSA-12-0061 (CVE-2012-5479): el plugin 'Portfolio' podría permitir la
carga local de ficheros (Local File Inclusion, LFI) y ejecución de
comandos de forma remota (RCE) a través de la respuesta de una llamada a
la API especialmente manipulada. Cristóbal Leiva es el descubridor de
este error.
* MSA-12-0062 (CVE-2012-5480): Tabitha Roder ha descubierto un fallo en
el módulo 'Database activity' de Moodle que podría permitir a cualquier
usuario, incluso a los invitados, leer las entradas de otros usuarios.
* MSA-12-0063 (CVE-2012-5481): Existe un fallo que permite revelar
información en la página 'Check Permissions', al permitir que usuarios
no administradores pudiesen ver los roles de todos los usuarios de la
plataforma. ha sido descubierto por Jody Steele.
La mayoría de estas vulnerabilidades afectan a las versiones 2.1.x,
2.2.x y 2.3.x de Moodle. El boletín MSA-12-0058 no afecta a la rama 2.1,
mientras que el MSA-12-0063 únicamente atañe a la 2.3. La rama 1.9
también se ve involucrada en el error reportado en el boletín
MSA-12-0060.
Se encuentra disponible, en la página oficial, la última versión de
No seáis malos.
2 comentarios
comentariosLa entrada te ha salido publicada dos veces, entiendo que por error. Saludos.
ReplySi, gracias tocayo, ya se elimino. Fue un error.
Reply