Moodle ha publicado tres boletines de seguridad en los que corrigen
otras tantas vulnerabilidades. Se ven afectadas las versiones 2.6,
2.5 a 2.5.4, 2.4 a 2.4.7, 2.3 a 2.3.10 y anteriores.
Moodle, es conocida y ampliamente utilizada como plataforma educativa de
código abierto que permite a los educadores crear y gestionar tanto
usuarios como cursos de modalidad e-learning. Además proporciona
herramientas para la comunicación entre formadores y alumnos.
La primera vulnerabilidad (con CVE-2014-0008) podría permitir a un
usuario con permisos administrativos visualizar otras contraseñas
administrativas, debido a que los cambios de contraseñas se graban
en el 'Config Changes Report' en texto plano.
Un segundo problema (con CVE-2014-0009) podría permitir a usuarios con
privilegios 'login as' pero sin permisos para acceder a todos los grupos
podría acceder a otros grupos mediante el uso de URL específicamente
creadas.
Por último, (con CVE-2014-0010) una vulnerabilidad en el script
'/user/profile/index.php' debido a que no valida adecuadamente las
entradas facilitadas por los usuarios, lo que podría permitir la
construcción de ataques cross-site request forgery.
Se han publicado las versiones 2.3.11, 2.4.8, 2.5.4 y 2.6.1 para
solucionar estos problemas y pueden ser descargadas desde su página
oficial:
http://download.moodle.org/
Fuente
otras tantas vulnerabilidades. Se ven afectadas las versiones 2.6,
2.5 a 2.5.4, 2.4 a 2.4.7, 2.3 a 2.3.10 y anteriores.
Moodle, es conocida y ampliamente utilizada como plataforma educativa de
código abierto que permite a los educadores crear y gestionar tanto
usuarios como cursos de modalidad e-learning. Además proporciona
herramientas para la comunicación entre formadores y alumnos.
La primera vulnerabilidad (con CVE-2014-0008) podría permitir a un
usuario con permisos administrativos visualizar otras contraseñas
administrativas, debido a que los cambios de contraseñas se graban
en el 'Config Changes Report' en texto plano.
Un segundo problema (con CVE-2014-0009) podría permitir a usuarios con
privilegios 'login as' pero sin permisos para acceder a todos los grupos
podría acceder a otros grupos mediante el uso de URL específicamente
creadas.
Por último, (con CVE-2014-0010) una vulnerabilidad en el script
'/user/profile/index.php' debido a que no valida adecuadamente las
entradas facilitadas por los usuarios, lo que podría permitir la
construcción de ataques cross-site request forgery.
Se han publicado las versiones 2.3.11, 2.4.8, 2.5.4 y 2.6.1 para
solucionar estos problemas y pueden ser descargadas desde su página
oficial:
http://download.moodle.org/
Fuente