Vulnerabilidad de Moodle (AL02/241217/CSIRT-ITA)

Síntesis

Se han detectado nuevas vulnerabilidades en Moodle, una conocida plataforma de código abierto normalmente utilizada para la impartición de cursos de aprendizaje electrónico, 3 de las cuales son de gravedad “alta”.

Riesgo

Impacto estimado de la vulnerabilidad en la comunidad de referencia: Medio (63,46)

Tipología

• Denial of Service
• Information Disclosure
• Security Restrictions Bypass

Productos y versiones afectados

Moodle, versiones:

• 4.5.x, versiones anteriores a 4.5.1
• 4.4.x, versiones anteriores a 4.4.5
• 4.3.x, versiones anteriores a 4.3.9
• 4.1.x, versiones anteriores a 4.1.15
• Todas las versiones ya no son compatibles

Acciones de mitigación

De acuerdo con las declaraciones de los proveedores, se recomienda aplicar las mitigaciones disponibles siguiendo las instrucciones de los boletines de seguridad enumerados en la sección Referencias.

Identificadores de vulnerabilidad únicos

CVE-ID

CVE-2024-55643

CVE-2024-55647

CVE-2024-55648

Referencias

1. https://moodle.org/mod/forum/discuss.php?d=464559&parent=1864997
2. https://moodle.org/mod/forum/discuss.php?d=464558&parent=1864996
3. https://moodle.org/mod/forum/discuss.php?d=464554&parent=1864992
4. https://moodle.org/security/

¹Esta estimación se realiza teniendo en cuenta varios parámetros, entre ellos: CVSS, disponibilidad de patch/workaround y PoC, difusión del software/dispositivos afectados en la comunidad de referencia.