Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per Moodle (marzo 2019)

Moodle   martedì, 19 marzo 2019

Sono stati rilasciati aggiornamenti di sicurezza che risolvono diverse vulnerabilità, di cui alcune di gravità elevata, nella piattaforma di e-learning open source Moodle.

Dettagli delle vulnerabilità (in Inglese):

  • [Minor] get_with_capability_join and get_users_by_capability were not taking context freezing into account when checking user capabilities (CVE-2019-3852)
  • [Minor] There was a link to site home within the the Boost theme’s secure layout, meaning students could navigate out of the page (CVE-2019-3851)
  • [Minor] Links within assignment submission comments would open directly (in the same window). Although links themselves may be valid, opening within the same window and without the no-referrer header policy made them more susceptible to exploits (CVE-2019-3850)
  • [Serious] Users could assign themselves an escalated role within courses or content accessed via LTI (Learning Tools Interoperability), by modifying the request to the LTI publisher site (CVE-2019-3849)
  • [Serious] Permissions were not correctly checked before loading event information into the calendar’s edit event modal popup, so logged in non-guest users could view unauthorised calendar events (Note: It was read-only access, users could not edit the events) (CVE-2019-3848)
  • [Serious] Users with the “login as other users” capability (such as administrators/managers) can access other users’ Dashboards, but the JavaScript those other users may have added to their Dashboard was not being escaped when being viewed by the user logging in on their behalf (CVE-2019-3847)

Risultano variamente affette da queste vulnerabilità le seguenti versioni supportate di Moodle:

  • Moodle dalla versione 3.6 alla 3.6.2
  • Moodle dalla versione 3.5 alla 3.5.4
  • Moodle dalla versione 3.4 alla 3.4.7
  • Moodle dalla versione 3.1 alla 3.1.16
  • Versioni precedenti non supportate

Per risolvere queste vulnerabilità è necessario aggiornare Moodle ad una delle seguenti versioni:

  • Moodle versione 3.6.3
  • Moodle versione 3.5.5
  • Moodle versione 3.4.8
  • Moodle versione 3.1.17

Si raccomanda a tutti i gestori di siti Web che utilizzano Moodle di consultare i seguenti avvisi di sicurezza del produttore e di aggiornare al più presto la propria piattaforma:

Notizie correlate

Aggiornamenti di sicurezza per Moodle (maggio 2019)

21 maggio 2019

Sono stati rilasciati aggiornamenti di sicurezza che risolvono tre vulnerabilità, di cui una di gravità elevata, nella piattaforma di e-learning open source Moodle.Leggi tutto

Aggiornamenti di sicurezza per Moodle (gennaio 2019)

21 gennaio 2019

Sono stati rilasciati aggiornamenti di sicurezza che risolvono tre vulnerabilità di bassa gravità nella piattaforma di e-learning open source Moodle.Leggi tutto

Aggiornamento di sicurezza per Moodle

21 novembre 2018

È stato rilasciato un aggiornamenti di sicurezza che risolve una vulnerabilità di gravità elevata nella piattaforma di e-learning open source Moodle.Leggi tutto