Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per Moodle (gennaio 2019)

cross-site scripting  Moodle  server-side request forgery   lunedì, 21 gennaio 2019

Sono stati rilasciati aggiornamenti di sicurezza che risolvono tre vulnerabilità di bassa gravità nella piattaforma di e-learning open source Moodle.

Dettagli delle vulnerabilità (in Inglese):

  • [Minor] The ‘manage groups’ capability did not have the ‘XSS risk’ flag assigned to it, but does have that access in certain places. Note that the capability is intended for use by trusted users, and is only assigned to teachers and managers by default (CVE-2019-3808)
  • [Minor] The mybackpack functionality allowed setting the URL of badges, when it should be restricted to the Mozilla Open Badges backpack URL. This resulted in the possibility of blind SSRF via requests made by the page (CVE-2019-3809)
  • [Minor] The /userpix/ page did not escape users’ full names, which are included as text when hovering over profile images. Note this page is not linked to by default and its access is restricted. (CVE-2019-3810)

Risultano variamente affette da queste vulnerabilità le seguenti versioni supportate di Moodle:

  • Moodle dalla versione 3.6 alla 3.6.1
  • Moodle dalla versione 3.5 alla 3.5.3
  • Moodle dalla versione 3.4 alla 3.4.6
  • Moodle dalla versione 3.1 alla 3.1.15
  • Versioni precedenti non supportate

Per risolvere queste vulnerabilità è necessario aggiornare Moodle ad una delle seguenti versioni:

  • Moodle versione 3.6.2
  • Moodle versione 3.5.4
  • Moodle versione 3.4.7
  • Moodle versione 3.1.16

Si raccomanda a tutti i gestori di siti Web che utilizzano Moodle di consultare i seguenti avvisi di sicurezza del produttore e di aggiornare al più presto la propria piattaforma:

Notizie correlate

Risolta vulnerabilità di tipo XSS in Joomla! 3.9.6

8 maggio 2019

Il Joomla! Project ha rilasciato la versione 3.9.6 del suo CMS che risolve una vulnerabilità di tipo cross-site scripting nel codice "core" dell'applicazione.Leggi tutto

Aggiornamenti di sicurezza critici per Drupal 7 e 8

18 aprile 2019

Sono stati rilasciati aggiornamenti di sicurezza che risolvono due vulnerabilità considerate "moderatamente critiche" nel codice "core" del noto CMS Drupal versione 7.x e 8.x.Leggi tutto

Aggiornamenti di sicurezza critici per Magento

1 aprile 2019

Sono stati rilasciati aggiornamenti di sicurezza per la piattaforma di e-commerce Magento che risolvono un totale di 37 vulnerabilità, di cui 4 critiche e altre 4 di gravità elevata.Leggi tutto