Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per Moodle

denial-of-service  Moodle  remote code execution   venerdì, 25 maggio 2018

Sono stati rilasciati aggiornamenti di sicurezza che risolvono sei vulnerabilità, di cui tre di gravità elevata, nella piattaforma di e-learning open source Moodle.

Le più gravi di queste vulnerabilità possono consentire ad un utente autenticato di causare condizioni di denial of service o eseguire codice arbitrario da remoto sul server.

Dettagli delle vulnerabilità (in Inglese):

  • [Serious] Substituting URL in portfolios users can instantiate any class, this can also be exploited by users who are logged in as guests to create a DDoS attack (CVE-2018-1137)
  • [Minor] User who did not agree to the site policies can see the site homepage as if they had full site access
  • [Serious] User can shift a block from Dashboard to any page (CVE-2018-1136)
  • [Minor] Portfolio forum caller class allows a user to download any file (CVE-2018-1135)
  • [Minor] Users can download any file via portfolio assignment caller class (CVE-2018-1134)
  • [Serious] Calculated question type allows remote code execution by Question authors (CVE-2018-1133)

Risultano affette da queste vulnerabilità le seguenti versioni supportate di Moodle:

  • Moodle versioni dalla 3.4 alla 3.4.2
  • Moodle versioni dalla 3.3 alla 3.3.5
  • Moodle versioni dalla 3.2 alla 3.2.8
  • Moodle versioni dalla 3.1 alla 3.1.11

Per risolvere queste vulnerabilità è necessario aggiornare Moodle ad una delle seguenti versioni:

  • Moodle 3.5
  • Moodle 3.4.3
  • Moodle 3.3.6
  • Moodle 3.2.9
  • Moodle 3.1.12

Si raccomanda a tutti i gestori di siti Web che utilizzano Moodle di consultare i seguenti avvisi di sicurezza del produttore e di aggiornare al più presto la propria piattaforma:

Notizie correlate

Microsoft rilascia aggiornamento per vulnerabilità multiple in Exchange

21 giugno 2018

Microsoft ha rilasciato un aggiornamento di sicurezza che risolve tre diverse vulnerabilità di gravità elevata in Microsoft Exchange Server.Leggi tutto

Vulnerabilità in prodotti Cisco (20 giugno 2018)

21 giugno 2018

Cisco ha rilasciato il 20 giugno 2018 diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in diversi prodotti.Leggi tutto

Vulnerabilità in ISC Bind

14 giugno 2018

È stata riscontrata una vulnerabilità di media gravità in ISC BIND 9 che può causare condizioni di denial of service, diffusione di informazioni riservate o facilitare attacchi DDoS.Leggi tutto