Usted está aquí: Inicio > psi > Seguridad > Alerta de Seguridad > Moodle: Escalada de directorios - 20150210

Moodle: Escalada de directorios - 20150210

Alerta de seguridad de impacto crítico sobre aplicaciones. Actualización obligatoria.

Se detectó una vulnerabilidad de escalada de directorios que podría permitir a un atacante obtener información sensible del sistema.

 

Versiones afectadas:

 Se ven afectadas todas las ramas soportadas 2.8, 2.7, 2.6 y versiones anteriores ya fuera de soporte.

Solución:

Las versiones 2.8.3, 2.7.5 y 2.6.8 solucionan esta vulnerabilidad. Se encuentran disponibles para su descarga desde la página oficial de Moodle.

 

Detalle:

Se ha publicado el boletín de seguridad MSA-14-0009, con identificador CVE-2015-1493, considerado como serio. El problema reside en que el parámetro "file" no limpia adecuadamente las entradas del usuario, lo que podría permitir introducir peticiones cadenas clásicas de escalada de directorios ('../'). De esta forma el atacante podría tener acceso a archivos arbitrarios del sistema situados fuera del directorio de Moodle. Se ven afectados todos los sistemas operativos, pero los sistemas Windows son especialmente vulnerables.

 

 

Más Información:

Hispasec

http://unaaldia.hispasec.com/2015/02/escalada-de-directorios-en-moodle.html

Moodle

https://moodle.org/mod/forum/discuss.php?d=279956

Acciones de Documento

@ 2000, Academia Nacional de Derecho y Ciencias Sociales de Cordoba

Todos los derechos reservados.

Sitio inscripto en la Direccion Nacional del Derecho de Autor Expediente 557560