Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per Moodle (novembre 2019)

cross-site scripting  Moodle   lunedì, 18 novembre 2019

Sono stati rilasciati aggiornamenti di sicurezza che risolvono 6 vulnerabilità di cui due di gravità elevata nella piattaforma di e-learning open source Moodle.

Dettagli delle vulnerabilità (in Inglese):

  • [Minor] When a cohort role assignment was removed, the associated capabilites were not being revoked (where applicable) (CVE-2019-14879).
  • [Serious] OAuth 2 providers who do not verify users’ email address changes require additional verification during sign-up to reduce the risk of account compromise (CVE-2019-14880).
  • [Minor] User emails required additional sanitizing to prevent blind XSS risk on some pages (CVE-2019-14881).
  • [Minor] An open redirect existed in the Lesson edit page (CVE-2019-14882).ù
  • [Minor] Tokens used to fetch inline attachments in email notifications were not disabled when a user’s account was no longer active (CVE-2019-14883).
  • [Serious] Fatal error messages required extra sanitizing to prevent reflected XSS risks on some pages (CVE-2019-14884).

Risultano variamente affette da queste vulnerabilità le seguenti versioni di Moodle:

  • Moodle dalla versione 3.7 alla 3.7.2
  • Moodle dalla versione 3.6 alla 3.6.6
  • Moodle dalla versione 3.5 alla 3.5.8
  • Versioni precedenti non supportate

Per risolvere queste vulnerabilità è necessario aggiornare Moodle ad una delle seguenti versioni:

  • Moodle versione 3.7.3
  • Moodle versione 3.6.7
  • Moodle versione 3.5.9

Si raccomanda a tutti i gestori di siti Web che utilizzano Moodle di consultare i seguenti avvisi di sicurezza del produttore e di aggiornare al più presto la propria piattaforma:

Notizie correlate

Risolte sei vulnerabilità in WordPress 5.2.4

15 ottobre 2019

È stato rilasciato un aggiornamento di sicurezza che risolve sei vulnerabilità del noto CMS WordPress, presenti nelle versioni fino alla 5.2.3.Leggi tutto

Aggiornamenti di sicurezza critici per Magento

14 ottobre 2019

Sono stati rilasciati aggiornamenti di sicurezza per la piattaforma di e-commerce Magento che risolvono un totale di 53 vulnerabilità, di cui 12 critiche e altre 12 di gravità elevata.Leggi tutto

Aggiornamenti di sicurezza per Moodle (settembre 2019)

17 settembre 2019

Sono stati rilasciati aggiornamenti di sicurezza che risolvono 6 vulnerabilità di cui due di gravità elevata nella piattaforma di e-learning open source Moodle.Leggi tutto