Moodle ha lanzado actualizaciones de seguridad para solucionar seis vulnerabilidades en diferentes versiones: ¡es el momento de actualizar!
¿Qué corrigen estas actualizaciones?
- Los usuarios con privilegios de administrador podrían acceder al panel de control de otros usuarios. No obstante, no deberían tener permisos para visualizarlo por defecto.
- No se comprueban correctamente los permisos antes de cargar la información de eventos en la ventana emergente de edición del calendario, de modo que los usuarios no invitados que hubieran iniciado sesión podrían ver eventos de calendario para los que no están autorizados. Es un acceso de solo lectura, por lo que estos usuarios no podrán editar los eventos.
- Los usuarios podrían asignarse más privilegios a su cuenta en los cursos a los que se accede a través de la especificación de Interoperabilidad de Herramientas de Aprendizaje (LTI).
- Existe la posibilidad de almacenar código HTML en los comentarios que se ejecutaría de manera automática.
- Existe un enlace en el código del tema basado en Bootstrap que podría permitir a los estudiantes acceder a un sitio de terceros.
- Un fallo en el congelamiento de contexto (context freezing – característica que le permite a los administradores o aquellos con la capacidad relevante, hacer bloques, cursos o contenido de curso de ‘solo-lectura’), no tiene en cuenta los privilegios del usuario que ha iniciado sesión para modificar este contenido.