Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per Moodle (settembre 2019)

Moodle   martedì, 17 settembre 2019

Sono stati rilasciati aggiornamenti di sicurezza che risolvono 6 vulnerabilità di cui due di gravità elevata nella piattaforma di e-learning open source Moodle.

Dettagli delle vulnerabilità (in Inglese):

  • [Minor] If a forum’s subscription mode was set to “forced subscription”, the forum’s subscribe link contained an open redirect (CVE-2019-14831).
  • [Serious] The mobile launch endpoint contained an open redirect in some circumstances, which could result in a user’s mobile access token being exposed (CVE-2019-14830).
  • [Minor] Activity creation capabilities were not correctly respected when selecting the activity to use for a course in single activity mode (CVE-2019-14829).
  • [Minor] The analytics Python Machine Learning backend has received some security fixes, resulting in the required PIP package version being increased.
  • [Minor] Users with the capability to create courses were assigned as a teacher in those courses, regardless of whether they had the capability to be automatically assigned that role.
  • [Serious] Mustache helper tags that were included in template contexts were not being escaped before that context was injected into another Mustache helper, which could result in script injection in some templates (CVE-2019-14827).

Risultano affette da queste vulnerabilità le seguenti versioni di Moodle:

  • Moodle dalla versione 3.7 alla 3.7.1
  • Moodle dalla versione 3.6 alla 3.6.5
  • Moodle dalla versione 3.5 alla 3.5.7
  • Versioni precedenti non supportate

Per risolvere queste vulnerabilità è necessario aggiornare Moodle ad una delle seguenti versioni:

  • Moodle versione 3.7.2
  • Moodle versione 3.6.6
  • Moodle versione 3.5.8

Si raccomanda a tutti i gestori di siti Web che utilizzano Moodle di consultare i seguenti avvisi di sicurezza del produttore e di aggiornare al più presto la propria piattaforma:

Notizie correlate

Aggiornamenti di sicurezza per Moodle (novembre 2019)

18 novembre 2019

Sono stati rilasciati aggiornamenti di sicurezza che risolvono 6 vulnerabilità di cui due di gravità elevata nella piattaforma di e-learning open source Moodle.Leggi tutto

Aggiornamenti di sicurezza per Moodle (luglio 2019)

22 luglio 2019

Sono stati rilasciati aggiornamenti di sicurezza che risolvono 5 vulnerabilità di bassa gravità nella piattaforma di e-learning open source Moodle.Leggi tutto

Aggiornamenti di sicurezza per Moodle (maggio 2019)

21 maggio 2019

Sono stati rilasciati aggiornamenti di sicurezza che risolvono tre vulnerabilità, di cui una di gravità elevata, nella piattaforma di e-learning open source Moodle.Leggi tutto