Corregidas cuatro vulnerabilidades en Moodle

Moodle ha publicado cuatro alertas de seguridad en las que se corrigen otras tantas vulnerabilidades que podrían permitir el acceso a información sensible, construir ataques de cross-site scripting o la ejecución de código remoto.

Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

Se han publicado cuatro boletines de seguridad (MSA-17-0004 y MSA-17-0006 al MSA-17-0009), dos de ellos considerados como de gravedad seria y los otros dos como de importancia menor.

El problema que puede ser considerado de mayor gravedad reside en una inyección SQL a través de las preferencias de usuario en Moodle 3.2. El problema podría permitir la ejecución de código arbitrario en Moodle 3.2.1. Afecta a todas las versiones Moodle, aunque en versiones anteriores a la 3.2 solo puede explotarse por administradores a través de servicios web.

También de gravedad alta un cross-site scripting (CVE-2017-2645) en archivos adjuntados como evidencia de aprendizajes anteriores. Afecta a versiones 3.2 a 3.2.1 y 3.1 a 3.1.4.

De gravedad menor, una búsqueda global puede permitir a usuarios invitados obtener los nombres de todos los usuarios (CVE-2017-2643). Afecta a versiones 3.2 a 3.2.1. Por último, usuarios registrados pueden presentar una evidencia de aprendizaje previo que incluya un cross-site scripting que se ejecutará por otro usuario que intente editar la misma evidencia (CVE-2017-2644).

Las versiones 3.2.2, 3.1.5, 3.0.9 y 2.7.19 solucionan todas las vulnerabilidades. Se encuentran disponibles para su descarga desde la página oficial de Moodle.
http://download.moodle.org/

Ver información original al respecto en Fuente:
http://unaaldia.hispasec.com/2017/04/corregidas-cuatro-vulnerabilidades-en.html