Múltiples vulnerabilidades en el core de Moodle

Las versiones 2.8.x, 2.9.x y 3.0.x están afectadas.

Se han identificado varias vulnerabilidades en el gestor de contenidos Moodle que pueden permitir el acceso a información oculta, las explotación de vulnerabilidades XSS y CSRF, etc.

Se han publicado varias versiones actualizadas (2.7.12, 2.8.10, 2.9.4, 3.0.2 ) que corrigen estos fallos.

Se han identificado los siguientes fallos:

• Vulnerabilidad XSS en el buscador de administración de cursos. Se ha reservado el identificador CVE-2016-0725.
• Algunos web services no validan correctamente los permisos de los usuarios para acceder a cursos ocultos. Se ha reservado el identificador CVE-2016-0724.
• Los usuarios pueden eliminar y enviar nuevas solicitudes aunque esté desactivada dicha funcionalidad. Se ha reservado el identificador CVE-2015-5342.
• El módulo SCORM permite sortear las restricciones de acceso basadas en fecha. Se ha reservado el identificador CVE-2015-5341.
• Los usuarios autenticados, pese a no tener asignados los permisos para poder visualizar los badges no conseguidos, pueden visualizar la totalidad de ellos. Se ha reservado el identificador CVE-2015-5340.
• Es posible obtener el listado completo de inscritos a un curso pese a que pertenezcan a diferentes grupos. Se ha reservado el identificador CVE-2015-5339.
• Vulnerabilidad CSRF en los módulos con lecciones protegidas mediante contraseña. Se ha reservado el identificador CVE-2015-5338.
• Vulnerabilidad XSS en el visor de flash Flowplayer. Se ha reservado el identificador CVE-2015-5337.
• Vulnerabilidad XSS en el sistema de encuestas. Se ha reservado el identificador CVE-2015-5336.
• Vulnerabilidad CSRF en el formulario de registro. Se ha reservado el identificador CVE-2015-5335.