Contáctanos al
1510
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información obtenida de Moodle referente a dos vulnerabilidades que afectan a su sistema de gestión de aprendizaje. El presente informe incluye la respectiva medida de mitigación.
Vulnerabilidades
CVE-2020-10738,
CVE-2018-1999024
CVE-2020-10738
Debido a la insuficiente validación de datos ingresados por el usuario al procesar paquetes SCORM, un atacante remoto podría subir paquetes especialmente diseñados, que una vez agregados al curso, se podrán comunicar con el servicio web, logrando comprometer completamente al sistema afectado mediante la ejecución de código remoto.
Producto Afectado
Moodle versiones 3.8 hasta la 3.8.2, 3.7 hasta la 3.7.5, 3.6 hasta la 3.6.9, 3.5 hasta la 3.5.11 y versiones anteriores.
Mitigación
Actualizar a la versión 3.8.3, 3.7.6, 3.6.10 ó 3.5.12 de Moodle.
Enlaces
https://moodle.org/mod/forum/discuss.php?d=403513
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10738
CVE-2018-1999024
Debido a la insuficiente sanitización de datos ingresados por el usuario en el macro “unicode{}” en “MathJax”, un atacante remoto podría engañar a una víctima para que acceda a un enlace especialmente diseñado, logrando ejecutar HTML y código JavaScript en el contexto del sitio vulnerable. La explotación de esta vulnerabilidad XSS (Cross-site scripting) permitiría al atacante el robo de credenciales, cambiar la apariencia del sitio web y hasta conducir al usuario para descargar malware.
Productos Afectados
Moodle versiones 3.8 hasta la 3.8.2, 3.7 hasta la 3.7.5, 3.6 hasta la 3.6.9, 3.5 hasta la 3.5.11 y versiones anteriores.
Mitigación
Actualizar a la versión 3.8.3, 3.7.6, 3.6.10 ó 3.5.12 de Moodle.
Enlaces
https://moodle.org/mod/forum/discuss.php?d=403512
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1999024
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00216-01