Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per Moodle (marzo 2020)

cross-site scripting  Moodle   lunedì, 16 marzo 2020

Sono stati rilasciati aggiornamenti di sicurezza che risolvono 4 vulnerabilità di cui due di gravità elevata nella piattaforma di e-learning open source Moodle.

Dettagli delle vulnerabilità (in Inglese):

  • [Serious] Messages required extra sanitizing before updating the conversation overview, to prevent the risk of stored XSS (CVE-2020-1691).
  • [Minor] Users viewing the grade history report without the ‘access all groups’ capability were not restricted to viewing grades of users within their own groups (CVE-2020-1754).
  • [Serious] X-Forwarded-For headers could be used to spoof a user’s IP, in order to bypass remote address checks (CVE-2020-1755).
  • [Minor] Insufficient input escaping was applied to the PHP unit webrunner admin tool (CVE-2020-1756).

Risultano variamente affette da queste vulnerabilità le seguenti versioni di Moodle:

  • Moodle dalla versione 3.8 alla 3.8.1
  • Moodle dalla versione 3.7 alla 3.7.4
  • Moodle dalla versione 3.6 alla 3.6.8
  • Moodle dalla versione 3.5 alla 3.5.10
  • Versioni precedenti non supportate

Per risolvere queste vulnerabilità è necessario aggiornare Moodle ad una delle seguenti versioni:

  • Moodle versione 3.8.2
  • Moodle versione 3.7.5
  • Moodle versione 3.6.9
  • Moodle versione 3.5.11

Si raccomanda a tutti i gestori di siti Web che utilizzano Moodle di consultare i seguenti avvisi di sicurezza del produttore e di aggiornare al più presto la propria piattaforma:

Notizie correlate

Aggiornamento di sicurezza critico per Drupal 8

20 marzo 2020

È stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità considerata "moderately critical" nel codice "core" del noto CMS Drupal versione 8.x.Leggi tutto

Risolte diverse vulnerabilità in Joomla! 3.9.16

16 marzo 2020

Il Joomla! Project ha rilasciato la versione 3.9.16 del suo CMS che risolve 6 vulnerabilità di bassa gravità nel codice "core" dell'applicazione.Leggi tutto

Risolte diverse vulnerabilità in Joomla! 3.9.15

30 gennaio 2020

Il Joomla! Project ha rilasciato la versione 3.9.15 del suo CMS che risolve tre vulnerabilità di bassa gravità nel codice "core" dell'applicazione.Leggi tutto