Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per Moodle

Moodle   venerdì, 6 aprile 2018

Sono stato rilasciati aggiornamenti di sicurezza che risolvono due vulnerabilità, di cui una di gravità elevata, nella piattaforma di e-learning open source Moodle.

La più grave di queste vulnerabilità può consentire ad un utente non autenticato di inviare messaggi arbitrari all’amministratore mediante lo script di iscrizione PayPal. Lo script di callback IPN (Instant Payment Notification) di PayPal dovrebbe limitarsi ad inviare Email di errore all’amministratore dopo che l’origine della richiesta è stata verificata, altrimenti l’indirizzo Email dell’amministratore potrebbe essere oggetto di spam.

Dettagli delle vulnerabilità (in Inglese):

  • [Serious] Unauthenticated users can trigger custom messages to admin via paypal enrol script (CVE-2018-1081)
  • [Minor] Suspended users with OAuth 2 authentication method can still log in to the site (CVE-2018-1082)

Risultano variamente affette da queste vulnerabilità le seguenti versioni supportate di Moodle:

  • Moodle versioni dalla 3.4 alla 3.4.1
  • Moodle versioni dalla 3.3 alla 3.3.4
  • Moodle versioni dalla 3.2 alla 3.2.7
  • Moodle versioni dalla 3.1 alla 3.1.10
  • altre versioni precedenti non supportate

Per risolvere queste vulnerabilità è necessario aggiornare Moodle ad una delle seguenti versioni:

  • Moodle 3.4.2
  • Moodle 3.3.5
  • Moodle 3.2.8
  • Moodle 3.1.11

Si raccomanda a tutti i gestori di siti Web che utilizzano Moodle di consultare i seguenti avvisi di sicurezza del produttore e di aggiornare al più presto la propria piattaforma:

Notizie correlate

Aggiornamenti di sicurezza per Moodle

23 gennaio 2018

Sono stato rilasciati aggiornamenti di sicurezza che risolvono diverse vulnerabilità, di cui una di gravità elevata, nella piattaforma di e-learning open source Moodle.Leggi tutto

Aggiornamenti di sicurezza per Moodle

18 settembre 2017

Sono stato rilasciati aggiornamenti di sicurezza che risolvono diverse vulnerabilità, di cui una di gravità elevata, nella piattaforma di e-learning open source Moodle.Leggi tutto

Risolta vulnerabilità critica di tipo SQL injection in Moodle

23 marzo 2017

È stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità critica di tipo SQL injection che affligge la piattaforma di e-learning open source Moodle.Leggi tutto