El centre espanyol de resposta a incidents de ciberseguretat INCIBE-CERT ha publicat un avís d’importància crítica per la detecció de diverses vulnerabilitats en Moodle, el sistema de gestió d’aprenentatge de codi obert àmpliament utilitzat en institucions educatives i entorns corporatius. L’explotació d’estes fallades podria permetre des de l’execució remota de codi fins a la denegació del servici i altres efectes adversos sobre la integritat i disponibilitat dels servicis.
Anàlisi
L’avís alerta sobre quatre vulnerabilitats classificades de severitat crítica en les versions actives del nucli de Moodle. Estes fallades les han reportat investigadors externs i, de ser explotades, podrien comprometre funcionalitats internes crítiques del gestor de continguts:
- Execució remota de codi en restaurar arxius, la qual cosa podria permetre a un atacant executar instruccions arbitràries amb el context del servidor Moodle.
- Riscos derivats de components d’infraestructura base, com ara mòduls de procés (per exemple, Symfony), que podrien derivar en execució d’ordes no desitjades.
Estes vulnerabilitats afecten les versions principals del producte (4.x i 5.x) prèvies a les actualitzacions de seguretat que ja ha llançat l’equip de desenrotllament de Moodle.
Recursos afectats
- Instàncies de Moodle LMS anteriors a les versions 5.1.2, 5.0.5 i 4.5.9, configurades per a permetre la restauració d’arxius o amb filtres avançats de contingut habilitats.
- Components interns de processament de contingut, inclosos el mòdul de processament Symfony i els filtres TeX integrats en el sistema.
- Entorns educatius i corporatius que depenen d’estes versions per a gestionar cursos, avaluacions i servicis web d’autenticació.
Recomendacions
- Per a mitigar els riscos associats a estes vulnerabilitats, es recomana:
Referències
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-moodle-11
Finalment, et convidem a compartir este butlletí amb els teus afins per a fomentar i difondre una cultura de la ciberseguretat i bones pràctiques en l’ús de les noves tecnologies.
Si tens alguna inquietud sobre ciberseguretat o necessitat de formació en esta àrea, visita els nostres webs. Trobaràs consells, cursos en línia, informes i més continguts: https://www.csirtcv.gva.es/ i https://concienciat.gva.es/ i seguix-nos en les nostres xarxes socials, Facebook (CSIRT-CV), X (@CSIRTCV) i YouTube (@csirt-cv6271).