Actualización de seguridad de Moodle

ActualidadActualizacion

Para lo que no los conozcan, Moodle es la plataforma de aprendizaje más utilizada del mundo, algo así como el WordPress de los cursos online. Según sus propias estadísticas, utilizan Moodle 158.00 webs (11.522 en España) que ofrecen 27 millones de cursos a 216 millones de estudiantes.

Moodle ha publicado una actualización de seguridad que soluciona 4 vulnerabilidades, 3 de ellas de severidad alta y 1 de severidad baja, por lo que recomendamos actualizar lo antes posible.

Las vulnerabilidades de severidad alta son:

CVE-2020-14320: una vulnerabilidad XSS (cross-site Scripting) que afecta a las versiones 3.9, 3.8 hasta la 3.8.3 y 3.7 hasta la 3.7.6 de Moodle. El fallo se da debido a una validación insuficiente de los datos proveídos por el usuario en el filtro de registros de tareas administrativas. Un atacante podría aprovecharse de esto engañando a un usuario para que acceda a un enlace malicioso y de tener éxito, ejecutar HTML arbitrario o código Javascript malicioso en el navegador de la víctima. La explotación exitosa de esta vulnerabilidad permitiría a un atacante remoto obtener información potencialmente confidencial, cambiar la apariencia del sitio web, realizar ataques phishing y drive-by-download (descarga involuntaria de software malicioso a través de páginas de Internet).

CVE-2020-14321: una vulnerabilidad de escalamiento de privilegios que afecta a todas las versiones de Moodle anteriormente mencionadas. El fallo se da debido a una falta de restricciones de seguridad dentro de las inscripciones de los cursos. La explotación exitosa de esta vulnerabilidad permitiría a un atacante remoto y autenticado con privilegios de profesor escalar a los privilegios de manager.

CVE-2020-14322: una vulnerabilidad de denegación de servicios (DoS) que afecta a todas las versiones de Moodle anteriormente mencionadas. Este fallo surge de una validación errónea de los datos proveídos por un usuario en el módulo yui_combo, un atacante podría crear una entrada especialmente diseñada y realizar un ataque de denegación de servicio (DoS).

Cabe recordar que recientemente esta plataforma ya había sufrido ataques DoS, como por ejemplo el que hizo caer el campus virtual de la Universidad de A Coruña tras organizarse una masiva entrada del alumnado y al menos una botnet.

La vulnerabilidad de riesgo bajo es CVE-2019-11358. Se trata de una vulnerabilidad de divulgación de información en la librería de Javascript JQuery utilizada por el administrador de librerías H5P de Moodle en versiones 3.8 hasta la 3.8.3 y se produce debido a un mal manejo de la función JQuery.extend() que podría llevar a un Object.prototype pollution. La explotación exitosa de esta vulnerabilidad permitiría a un atacante remoto obtener acceder a información confidencial potencialmente útil para realizar otros ataques.

¿Qué hacer?

Nuestro consejo es que actualices tu plataforma Moodle lo antes posible.

Importante: antes de actualizar en entornos de producción, es recomendable realizar pruebas previas en entornos de preproducción y comprobar que todo funciona correctamente tras la actualización.

En este enlace puedes descargar la última versión de Moodle, y en este puedes acceder a los enlaces de descarga que corrigen la vulnerabilidad.

1 Comentario

Leave a Reply

Your email address will not be published.