Diversos forats a Moodle

L’actualització de Moodle a la darrera versió s’ha convertit amb una urgència des de la publicació de dos forats importants de seguretat.

La primera vulnerabilidad es un Cross Site Scripting (XSS) que se
encuentra en el archivo “/mod/forum/view.php”, este se debe a la
carencia de comprobaciones o filtrado de caracteres de la variable
“search” lo que permite que un atacante mediante la publicación o
envío de urls capture las sesiones de los usuarios.

La segunda vulnerabilidad permite la descarga de los archivos que
contienen las sesiones en el servidor, esta a su vez se debe a que
el código permite la introducción de “..” en el camino del que se
obtiene el archivo, de esta manera es posible acceder al directorio
“sessions” que se encuentra dentro del directorio “moodledata” donde
está permitido el acceso. Haciendo uso de la vulnerabilidad de XSS
podremos consultar el contenido de la variable de sesión del usuario

oriol

oriol wrote 1166 posts

Post navigation

  • juan carlos

    hola. estoy interesado en la instalación de Moodle bajo ubuntu 6.10 y por lo que veo entiendes bastante del asunto. Permiteme una pregunta por favor:
    he instalado moodle bajo ubuntu y cuando replico a esta máquina siempre me sale el localhost de mi máquina y no se mete en el moodle de la maquina donde esta´instalado.
    ¿Me puedes ayuudar? gracias de antemano.
    Palma de Mallorca