Blog }  Tecnología para las personas

Nuevas actualizaciones de la plataforma de formación Moodle

Nuevas actualizaciones de la plataforma de formación Moodle

Importancia

Alta

Recursos afectados

  1. 3.7 a 3.7.2
  2. 3.6 a 3.6.6
  3. 3.5 a 3.5.8
  4. y versiones anteriores sin soporte.

Descripción

Se recomienda actualizar Moodle a las últimas versiones que corrigen dichas vulnerabilidades, accediendo a los siguientes enlaces: 3.8, 3.7.3, 3.6.7 y 3.5.9 respectivamente.

Solución

Se recomienda instalar los parches correspondientes según se indica en las direcciones web de la sección referencias, o actualizar Magento a las últimas versiones, tanto de Commerce, como de Open Source.

Importante: Antes de hacer este tipo de acciones en entornos de producción, es recomendable realizar las pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.

Detalle

Las actualizaciones corrigen una serie de problemas de seguridad, que se detallan a continuación:

  • Vulnerabilidades de tipo Cross Site Scripting o XSS, en alguno de los mensajes de error.
  • Los tokens utilizados para recuperar archivos adjuntos al correo electrónico siguen activos cuando la cuenta de usuario es desactivada. Para acceder a dichos archivos, el usuario debería conocer la ruta del mismo, así como su token.
  • Redirección abierta en la página de edición de lecciones.
  • Vulnerabilidades de tipo XSS oculto en páginas donde se mostraba el correo electrónico del usuario.
  • Se recomienda añadir sistemas de verificación adicionales en los inicios de sesión mediante provedores de OAuth 2 que no verifican cambios de correo del usuario, para reducir el riesgo de que la cuenta se vea comprometida.
  • Error en la eliminación de roles, ya que en algunos casos no se eliminaban las capacidades asociadas a un rol.