Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per Moodle

denial-of-service  Moodle  remote code execution   venerdì, 25 maggio 2018

Sono stati rilasciati aggiornamenti di sicurezza che risolvono sei vulnerabilità, di cui tre di gravità elevata, nella piattaforma di e-learning open source Moodle.

Le più gravi di queste vulnerabilità possono consentire ad un utente autenticato di causare condizioni di denial of service o eseguire codice arbitrario da remoto sul server.

Dettagli delle vulnerabilità (in Inglese):

  • [Serious] Substituting URL in portfolios users can instantiate any class, this can also be exploited by users who are logged in as guests to create a DDoS attack (CVE-2018-1137)
  • [Minor] User who did not agree to the site policies can see the site homepage as if they had full site access
  • [Serious] User can shift a block from Dashboard to any page (CVE-2018-1136)
  • [Minor] Portfolio forum caller class allows a user to download any file (CVE-2018-1135)
  • [Minor] Users can download any file via portfolio assignment caller class (CVE-2018-1134)
  • [Serious] Calculated question type allows remote code execution by Question authors (CVE-2018-1133)

Risultano affette da queste vulnerabilità le seguenti versioni supportate di Moodle:

  • Moodle versioni dalla 3.4 alla 3.4.2
  • Moodle versioni dalla 3.3 alla 3.3.5
  • Moodle versioni dalla 3.2 alla 3.2.8
  • Moodle versioni dalla 3.1 alla 3.1.11

Per risolvere queste vulnerabilità è necessario aggiornare Moodle ad una delle seguenti versioni:

  • Moodle 3.5
  • Moodle 3.4.3
  • Moodle 3.3.6
  • Moodle 3.2.9
  • Moodle 3.1.12

Si raccomanda a tutti i gestori di siti Web che utilizzano Moodle di consultare i seguenti avvisi di sicurezza del produttore e di aggiornare al più presto la propria piattaforma:

Notizie correlate

Vulnerabilità multiple di tipo DoS in NGINX

12 novembre 2018

Sono state individuate tre diverse vulnerabilità, di cui una di gravità elevata, in NGINX che potrebbero consentire ad un attaccante remoto di causare condizioni di denial of service sui server affetti.Leggi tutto

Aggiornamento di sicurezza Android (novembre 2018)

7 novembre 2018

Google ha rilasciato l'aggiornamento di sicurezza di novembre che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto

Aggiornamento di sicurezza critico per Apache Struts 2

6 novembre 2018

La Apache Software Foundation ha pubblicato un avviso di sicurezza riguardante una vulnerabilità critica di tipo esecuzione di codice da remoto in Apache Struts 2.Leggi tutto