Vulnerabilidad Directory Traversal en Moodle (Parchea!)

Moodle ha publicado la alerta de seguridad MSA-15-0009 para solucionar una vulnerabilidad de escalada de directorios que podría permitir a un atacante obtener información sensible del sistema. Se ven afectadas todas las ramas soportadas 2.8, 2.7, 2.6 y versiones anteriores ya fuera de soporte.

Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

Se ha publicado el boletín de seguridad MSA-15-0009, con identificador CVE-2015-1493, considerado como serio. El problema reside en que el parámetro "file" no limpia adecuadamente las entradas del usuario, lo que podría permitir introducir peticiones cadenas clásicas de escalada de directorios ('../'). De esta forma el atacante podría tener acceso a archivos arbitrarios del sistema situados fuera del directorio de Moodle. Se ven afectados todos los sistemas operativos, pero los sistemas Windows son especialmente vulnerables.

Las versiones 2.8.3, 2.7.5 y 2.6.8 solucionan esta vulnerabilidad. Se encuentran disponibles para su descarga desde la página oficial de Moodle: http://download.moodle.org/

Fuente: Hispasec

Suscríbete a nuestro Boletín