Para los que no lo conozcan, Moodle es la plataforma de aprendizaje más utilizada del mundo, algo así como el WordPress de los cursos online. Según sus propias estadísticas, utilizan Moodle 215.000 webs (14.477 en España, el segundo país del mundo donde más se usa) que ofrecen 33 millones de cursos a 250 millones de estudiantes.
Con el aumento de la educación desde casa su uso ha aumentado considerablemente. En julio de 2020, alertábamos de otra actualización de seguridad en este blog. En aquella ocasión las estadísticas de Moodle eran: 158.000 webs (11.522 en España) que ofrecían 27 millones de cursos a 216 millones de estudiantes, y eso que el boom de la teleformación ya se había producido.
Ayer Moodle publicó una actualización de seguridad que soluciona 5 vulnerabilidades, 3 de ellas de severidad alta y 2 de severidad baja, que podrían provocar ataques de denegación de servicio, divulgación de información, ejecución arbitraria de código PHP y XSS.
Las vulnerabilidades son las siguientes:
- La primera vulnerabilidad de tipo alto, podría permitir a un atacante con privilegios de administración ejecutar código PHP arbitrario a través de la configuración de Shibboleth.
- La segunda vulnerabilidad de severidad alta, podría permitir a un ciberdelincuente realizar ataques XSS reflejados debido a una validación insuficiente de las consultas de búsqueda, desde la plantilla de búsqueda de entradas.
- La tercera, categorizada como alta, podría provocar un ataque XSS almacenado producido por un saneado insuficiente del contenido TeX, si el filtro de notación TeX está activado.
- La cuarta, de importancia baja, debido a unas comprobaciones de capacidad insuficientes en algunos servicios web relacionados con las calificaciones, podría permitir que los estudiantes visualizaran las calificaciones de otros estudiantes.
- La última vulnerabilidad de severidad baja categoriza es un fallo en la mensajería que no imponía un límite de caracteres al enviar mensaje, lo que podría provocar una denegación de servicio en el navegador del cliente, si este recibía un mensaje muy largo.
¿Qué hacer?
Nuestro consejo es que actualices tu plataforma Moodle lo antes posible, para realizarlo puedes seguir este enlace. Si utilizas otra versión de Moodle que continúa con soporte, puedes acceder a los enlaces de descarga que corrigen la vulnerabilidad desde aquí.
Importante: antes de actualizar en entornos de producción, es recomendable realizar pruebas previas en entornos de preproducción y comprobar que todo funciona correctamente tras la actualización.