Noti_infosegura: También plataformas de e-learning presentan vulnerabilidades, tal es el caso de Moddle.

Múltiples vulnerabilidades en Moodle

Moodle ha publicado ocho alertas de seguridad en las que se corrigen otras tantas vulnerabilidades con diversos efectos, desde denegaciones de servicio hasta los habituales cross-site scripting y cross-site request forgery. Se ven afectadas todas las ramas soportadas 2.8, 2.7, 2.6 y anteriores versiones ya fuera de soporte.

Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

Se han publicado ocho boletines de seguridad (del MSA-15-0001 al MSA-14-0008), y tienen asignados los identificadores comprendidos del CVE-2015-0211 al CVE-2015-0218. Cuatro de ellos son considerados como serios y el resto como de gravedad menor. Las vulnerabilidades podrían permitir ataques Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), denegaciones de servicio, forzar la desconexión o revelar información.

Las versiones 2.8.2, 2.7.4 y 2.6.7 solucionan todas las vulnerabilidades. Se encuentran disponibles para su descarga desde la página oficial de Moodle.

http://download.moodle.org/

Más información:

Moodle downloads

http://download.moodle.org/

MSA-15-0001: Insufficient access check in LTI module

https://moodle.org/mod/forum/discuss.php?d=278611

MSA-15-0002: XSS vulnerability in course request pending approval page

https://moodle.org/mod/forum/discuss.php?d=278612

MSA-15-0003: CSRF possible in Glossary module

https://moodle.org/mod/forum/discuss.php?d=278613

MSA-15-0004: Information leak through messaging functions in web-services

https://moodle.org/mod/forum/discuss.php?d=278614