Vulnerabilidades en seguridad

Vulnerabilidad en Moodle

28/01/2022
Se publicaron dos vulnerabilidades que afectan a la plataforma Moodle, una de severidad crítica y otra media, que pueden permitir a quien ataca una inyección de SQL (CVE-2022-0332) y un Cross-site request forgery (CSRF) (CVE-2022-0335).
Imagen descriptiva de vulnerabilidades en Moodle

Aunque todavía no se conocen exploits públicos o pruebas de concepto, se recomienda instalar los parches lo antes posible.

Detalles técnicos

CVE-2022-0332

Productos afectadosVersiones
Moodle3.11 a 3.11.4

La vulnerabilidad del tipo inyección de SQL podría permitir a quienes atacan, obtener acceso a leer, eliminar y modificar datos en la base de datos y obtener control completo sobre la aplicación afectada.

La vulnerabilidad existe debido a una incorrecta sanitización de los datos proporcionados por la persona usuaria en mod_h5pactivity (mod/h5pactivity/classes/external/get_user_attempts.php), responsable de obtener los datos de intento de quien use la plataforma.

CVE-2022-0335

Productos afectadosVersiones
Moodle
  • 3.11 a 3.11.4
  • 3.10 a 3.10.8
  • 3.9 a 3.9.11
  • versiones anteriores no soportadas

La vulnerabilidad podría pemitir realizar ataques de CSRF de manera remota. La vulnerabilidad se produce debido a una falla en la validación del origen de la solicitud HTTP en la funcionalidad "delete badge alignment". Una persona podría realizar el ataque de manera remota engañando a la víctima para que visite una página web especialmente diseñada y realice acciones arbitrarias en el sitio web vulnerable.

Remediación

Actualizar a la versión 3.11.5, 3.10.9 y 3.9.12 de Moodle.

Recomendaciones

En vista de la severidad de las vulnerabilidades detalladas, instamos a aplicar lo antes posible los parches de seguridad recomendados.

Referencias

CVE-2022-0332 Moodle

CVE-2022-0335 Moodle

INCIBE - CERT - Moodle

 

Etiquetas

Amenazas y alertas Comunidad Técnica