Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per Moodle

denial-of-service  Moodle  remote code execution   venerdì, 25 maggio 2018

Sono stati rilasciati aggiornamenti di sicurezza che risolvono sei vulnerabilità, di cui tre di gravità elevata, nella piattaforma di e-learning open source Moodle.

Le più gravi di queste vulnerabilità possono consentire ad un utente autenticato di causare condizioni di denial of service o eseguire codice arbitrario da remoto sul server.

Dettagli delle vulnerabilità (in Inglese):

  • [Serious] Substituting URL in portfolios users can instantiate any class, this can also be exploited by users who are logged in as guests to create a DDoS attack (CVE-2018-1137)
  • [Minor] User who did not agree to the site policies can see the site homepage as if they had full site access
  • [Serious] User can shift a block from Dashboard to any page (CVE-2018-1136)
  • [Minor] Portfolio forum caller class allows a user to download any file (CVE-2018-1135)
  • [Minor] Users can download any file via portfolio assignment caller class (CVE-2018-1134)
  • [Serious] Calculated question type allows remote code execution by Question authors (CVE-2018-1133)

Risultano affette da queste vulnerabilità le seguenti versioni supportate di Moodle:

  • Moodle versioni dalla 3.4 alla 3.4.2
  • Moodle versioni dalla 3.3 alla 3.3.5
  • Moodle versioni dalla 3.2 alla 3.2.8
  • Moodle versioni dalla 3.1 alla 3.1.11

Per risolvere queste vulnerabilità è necessario aggiornare Moodle ad una delle seguenti versioni:

  • Moodle 3.5
  • Moodle 3.4.3
  • Moodle 3.3.6
  • Moodle 3.2.9
  • Moodle 3.1.12

Si raccomanda a tutti i gestori di siti Web che utilizzano Moodle di consultare i seguenti avvisi di sicurezza del produttore e di aggiornare al più presto la propria piattaforma:

Notizie correlate

“Peekaboo”: vulnerabilità critica in NUUO Network Video Recorder

19 settembre 2018

I ricercatori della società di sicurezza Tenable hanno scoperto due vulnerabilità, di cui una critica, nel software che equipaggia i prodotti della famiglia NUUO NVRmini 2.Leggi tutto

Aggiornamenti di sicurezza per Moodle (settembre 2018)

17 settembre 2018

Sono stati rilasciati aggiornamenti di sicurezza che risolvono tre vulnerabilità, di cui una di gravità elevata, nella piattaforma di e-learning open source Moodle.Leggi tutto

Vulnerabilità multiple in PHP

14 settembre 2018

Sono state scoperte diverse vulnerabilità in PHP 5 e 7 che potrebbero consentire ad un attaccante remoto di eseguire codice arbitrario nel contesto dell’applicazione affetta o di causare condizioni di denial of service.Leggi tutto