Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per Moodle

Moodle   venerdì, 6 aprile 2018

Sono stato rilasciati aggiornamenti di sicurezza che risolvono due vulnerabilità, di cui una di gravità elevata, nella piattaforma di e-learning open source Moodle.

La più grave di queste vulnerabilità può consentire ad un utente non autenticato di inviare messaggi arbitrari all’amministratore mediante lo script di iscrizione PayPal. Lo script di callback IPN (Instant Payment Notification) di PayPal dovrebbe limitarsi ad inviare Email di errore all’amministratore dopo che l’origine della richiesta è stata verificata, altrimenti l’indirizzo Email dell’amministratore potrebbe essere oggetto di spam.

Dettagli delle vulnerabilità (in Inglese):

  • [Serious] Unauthenticated users can trigger custom messages to admin via paypal enrol script (CVE-2018-1081)
  • [Minor] Suspended users with OAuth 2 authentication method can still log in to the site (CVE-2018-1082)

Risultano variamente affette da queste vulnerabilità le seguenti versioni supportate di Moodle:

  • Moodle versioni dalla 3.4 alla 3.4.1
  • Moodle versioni dalla 3.3 alla 3.3.4
  • Moodle versioni dalla 3.2 alla 3.2.7
  • Moodle versioni dalla 3.1 alla 3.1.10
  • altre versioni precedenti non supportate

Per risolvere queste vulnerabilità è necessario aggiornare Moodle ad una delle seguenti versioni:

  • Moodle 3.4.2
  • Moodle 3.3.5
  • Moodle 3.2.8
  • Moodle 3.1.11

Si raccomanda a tutti i gestori di siti Web che utilizzano Moodle di consultare i seguenti avvisi di sicurezza del produttore e di aggiornare al più presto la propria piattaforma:

Notizie correlate

Aggiornamenti di sicurezza per Moodle (settembre 2018)

17 settembre 2018

Sono stati rilasciati aggiornamenti di sicurezza che risolvono tre vulnerabilità, di cui una di gravità elevata, nella piattaforma di e-learning open source Moodle.Leggi tutto

Aggiornamenti di sicurezza per Moodle (luglio 2018)

16 luglio 2018

Sono stati rilasciati aggiornamenti di sicurezza che risolvono tre vulnerabilità di bassa gravità nella piattaforma di e-learning open source Moodle.Leggi tutto

Aggiornamenti di sicurezza per Moodle

25 maggio 2018

Sono stati rilasciati aggiornamenti di sicurezza che risolvono sei vulnerabilità, di cui tre di gravità elevata, nella piattaforma di e-learning open source Moodle.Leggi tutto