Importancia:
3 – Media
Fecha de publicación:
20/01/2016

Recursos afectados

Las versiones 2.8.x, 2.9.x y 3.0.x están afectadas.

Descripción

Se han identificado varias vulnerabilidades en el gestor de contenidos Moodle que pueden permitir el acceso a información oculta, las explotación de vulnerabilidades XSS y CSRF, etc.

Solución

Se han publicado varias versiones actualizadas (2.7.12, 2.8.10, 2.9.4, 3.0.2  (se abre en nueva ventana)) que corrigen estos fallos.

Detalle

Se han identificado los siguientes fallos:

  • Vulnerabilidad XSS en el buscador de administración de cursos. Se ha reservado el identificador CVE-2016-0725.
  • Algunos web services no validan correctamente los permisos de los usuarios para acceder a cursos ocultos. Se ha reservado el identificador CVE-2016-0724.
  • Los usuarios pueden eliminar y enviar nuevas solicitudes aunque esté desactivada dicha funcionalidad. Se ha reservado el identificador CVE-2015-5342.
  • El módulo SCORM permite sortear las restricciones de acceso basadas en fecha. Se ha reservado el identificador CVE-2015-5341.
  • Los usuarios autenticados, pese a no tener asignados los permisos para poder visualizar los badges no conseguidos, pueden visualizar la totalidad de ellos. Se ha reservado el identificador CVE-2015-5340.
  • Es posible obtener el listado completo de inscritos a un curso pese a que pertenezcan a diferentes grupos. Se ha reservado el identificador CVE-2015-5339.
  • Vulnerabilidad CSRF en los módulos con lecciones protegidas mediante contraseña. Se ha reservado el identificador CVE-2015-5338.
  • Vulnerabilidad XSS en el visor de flash Flowplayer. Se ha reservado el identificador CVE-2015-5337.
  • Vulnerabilidad XSS en el sistema de encuestas. Se ha reservado el identificador CVE-2015-5336.
  • Vulnerabilidad CSRF en el formulario de registro. Se ha reservado el identificador CVE-2015-5335.

Referencias

X