Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per Moodle (marzo 2019)

Moodle   martedì, 19 marzo 2019

Sono stati rilasciati aggiornamenti di sicurezza che risolvono diverse vulnerabilità, di cui alcune di gravità elevata, nella piattaforma di e-learning open source Moodle.

Dettagli delle vulnerabilità (in Inglese):

  • [Minor] get_with_capability_join and get_users_by_capability were not taking context freezing into account when checking user capabilities (CVE-2019-3852)
  • [Minor] There was a link to site home within the the Boost theme’s secure layout, meaning students could navigate out of the page (CVE-2019-3851)
  • [Minor] Links within assignment submission comments would open directly (in the same window). Although links themselves may be valid, opening within the same window and without the no-referrer header policy made them more susceptible to exploits (CVE-2019-3850)
  • [Serious] Users could assign themselves an escalated role within courses or content accessed via LTI (Learning Tools Interoperability), by modifying the request to the LTI publisher site (CVE-2019-3849)
  • [Serious] Permissions were not correctly checked before loading event information into the calendar’s edit event modal popup, so logged in non-guest users could view unauthorised calendar events (Note: It was read-only access, users could not edit the events) (CVE-2019-3848)
  • [Serious] Users with the “login as other users” capability (such as administrators/managers) can access other users’ Dashboards, but the JavaScript those other users may have added to their Dashboard was not being escaped when being viewed by the user logging in on their behalf (CVE-2019-3847)

Risultano variamente affette da queste vulnerabilità le seguenti versioni supportate di Moodle:

  • Moodle dalla versione 3.6 alla 3.6.2
  • Moodle dalla versione 3.5 alla 3.5.4
  • Moodle dalla versione 3.4 alla 3.4.7
  • Moodle dalla versione 3.1 alla 3.1.16
  • Versioni precedenti non supportate

Per risolvere queste vulnerabilità è necessario aggiornare Moodle ad una delle seguenti versioni:

  • Moodle versione 3.6.3
  • Moodle versione 3.5.5
  • Moodle versione 3.4.8
  • Moodle versione 3.1.17

Si raccomanda a tutti i gestori di siti Web che utilizzano Moodle di consultare i seguenti avvisi di sicurezza del produttore e di aggiornare al più presto la propria piattaforma:

Notizie correlate

Aggiornamenti di sicurezza per Moodle (novembre 2019)

18 novembre 2019

Sono stati rilasciati aggiornamenti di sicurezza che risolvono 6 vulnerabilità di cui due di gravità elevata nella piattaforma di e-learning open source Moodle.Leggi tutto

Aggiornamenti di sicurezza per Moodle (settembre 2019)

17 settembre 2019

Sono stati rilasciati aggiornamenti di sicurezza che risolvono 6 vulnerabilità di cui due di gravità elevata nella piattaforma di e-learning open source Moodle.Leggi tutto

Aggiornamenti di sicurezza per Moodle (luglio 2019)

22 luglio 2019

Sono stati rilasciati aggiornamenti di sicurezza che risolvono 5 vulnerabilità di bassa gravità nella piattaforma di e-learning open source Moodle.Leggi tutto