Descripción
Se han publicado 7 vulnerabilidades en Moodle, 2 de severidad crítica y 5 de severidad baja, que podrían permitir a un atacante realizar ataques de tipo XSS almacenado o SSRF ciego.
- CVE-2021-20279: Una validación o filtrado insuficientes en el campo para introducir el ID del usuario podría permitir a un usuario malintencionado realizar un ataque de tipo XSS almacenado (stored).
- CVE-2021-20280: Un filtrado insuficiente en las respuestas de feedback podría permitir a un usuario malintencionado realizar un ataque de tipo XSS almacenado o SSRF ciego (blind).
Para las vulnerabilidades de severidad baja, se han asignado los identificadores CVE-2020-11022, CVE-2020-11023, CVE-2021-20283, CVE-2021-20282 y CVE-2021-20281.
Recursos afectados
Las versiones de Moodle que se ven afectadas son las siguientes:
- De la 3.10 a la 3.10.1.
- De la 3.9 a la 3.9.4.
- De la 3.8 a la 3.8.7.
- De la 3.5 a la 3.5.16.
- Versiones anteriores no soportadas.
Solución
Aplicar las siguientes actualizaciones, en función de la versión afectada:
- 3.10.2.
- 3.9.5.
- 3.8.8.
- 3.5.1.