Nueva actualización de seguridad en la plataforma de formación Moodle
Actualización: 16/07/2018
Plataforma afectada: Moodle
Fuente:incibe.es
Recursos afectados
Versiones de Moodle: 3.5, 3.4 a 3.4.3, 3.3 a 3.3.6, 3.2 a 3.2.9, 3.1 a 3.1.12 y versiones anteriores no compatibles.
Solución
Se recomienda actualizar Moodle a las últimas versiones que corrigen dichas vulnerabilidades: 3.5.1, 3.4.4, 3.3.7, y 3.1.13.
Detalles
Estas actualizaciones corrigen los problemas de seguridad que se detallan a continuación:
En un cuestionario, cuando se importa un banco de preguntas, es posible que la vista previa de la pregunta que se muestra ejecute código JavaScript escrito en dicho banco de preguntas, pudiendo causar un mal funcionamiento de la plataforma. Vulnerabilidad que permite que el servicio web core_course_get_categories devuelva las categorías ocultas, que deberían omitirse al recuperar las categorías de los cursos y en consecuencia se muestren a usuarios sin permisos para visualizarlas. Vulnerabilidad que permite que no exista ninguna opción para omitir los registros de las exportaciones privadas de datos que pueden contener detalles de otros usuarios que interactuaron con el solicitante, y por lo tanto, permitir el acceso a usuarios sin los permisos necesarios.
Referencias para más detalles
Para mayor información consultar la siguiente dirección: INCIBE