logo moodle redondo

Moodle corrige varias vulnerabilidades que afectan a diferentes versiones.

La plataforma de formación ha publicado actualizaciones de seguridad que corrigen vulnerabilidades que afectan las siguientes versiones

  • 4.0
  • desde la versión 3.11, hasta la versión 3.11.6
  • desde la versión 3.10, hasta la versión 3.10.10
  • desde la versión 3.9, hasta la versión 3.9.13
  • todas las versiones anteriores sin soporte.

El problema

La empresa explica que la actualización de seguridad corrige varias vulnerabilidades, referidas por ejemplo al riesgo de inyección SQL en el código de badges (insignias) relacionado con la configuración de criterios,  y un problema en la lógica utilizada para contar los intentos fallidos de inicio de sesión podría dar lugar a que se salte el umbral de bloqueo de la cuenta.

En detalle los problemas tratados según lo recogido en su página son:

XSS almacenado en el formulario de asignación masiva de marcadores de asignación a través del número de ID de usuario

El campo de descripción oculto por las políticas de usuario (campos de usuario ocultos) aún es visible

Los resultados de búsqueda global revelan autores de contenido de forma inesperada para algunas actividades

Riesgo de inyección SQL en los criterios de concesión de insignias

Intentos de inicio de sesión fallidos contados incorrectamente

logo moodle

La solución

A ctualizar a la última versión disponible. Para ello, puedes acceder al siguiente enlace:

Para los que usan otra versión de Moodle que aun posee soporte, estos son los enlaces de descarga que corrigen la vulnerabilidad.

Antes de actualizar en entornos de producción, Incibe recomienda realizar pruebas previas en entornos de preproducción y comprobar que todo funciona correctamente tras la actualización.

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue esta checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en casos reales:

Por Frank G