Múltiples vulnerabilidades en Moodle Mar, 23/06/2026 - 10:07
Aviso
Recursos Afectados
5.2, 5.1 a 5.1.4, 5.0 a 5.0.7, 4.5 a 4.5.11 y versiones anteriores no compatibles.
Descripción
Moodle ha publicado 18 vulnerabilidades: 9 de severidad alta, que de ser explotadas, podrían permitir a un atacante poner en riesgo la información.
Identificador
INCIBE-2026-450
Solución
Actualizar a las siguientes versiones 5.2.1, 5.1.5, 5.0.8 y 4.5.12.
Detalle
Aun no se ha asignado CVE a las vulnerabilidades, pero Moodle les ha asignado un identificador propio. Estos se describen a continuación:MDL-87898 Riesgo de denegación de servicio (DoS) a través de la descripción del perfil de usuario.MDL-88529 Falta la comprobación de capacidad en la asignación del marcador de asignación.MDL-88531 Riesgo de CSRF en la recalificación de intentos de cuestionario.MDL-88542 CSRF y XSS en la edición del número de identificación del elemento de grado.MDL-88619 IDOR permite la eliminación arbitraria de comentarios.MDL-88667 Faltan comprobaciones de acceso de grupo en los servicios web de calificaciones.MDL-88735 Riesgo de RCE mediante la importación de preajustes de administrador.MDL-88736 Riesgo de lectura arbitraria de archivos en la restauración de copias de seguridad.MDL-88767 Omisión de MFA basada en correo electrónico.MDL-88595 Riesgo de lectura arbitraria de archivos en el módulo de actividad de la base de datos.
5 - Crítica
Listado de referencias
MSA-26-0017: IDOR allows arbitrary comment deletion
MSA-26-0015: RCE risk via admin presets import
MSA-26-0014: Arbitrary file read risk in backup restore
MSA-26-0013: Email-based MFA bypass
MSA-26-0012: Arbitrary file read risk in Database activity module
MSA-26-0019: CSRF risk in user profile page reset
MSA-26-0018: CSRF risk in user homepage preference setting
MSA-26-0028: DoS risk via user profile description
MSA-26-0026: Missing capability check in Assignment marker allocation
MSA-26-0025: CSRF risk in quiz attempt regrading
MSA-26-0021: CSRF and XSS in grade item idnumber editing
Etiquetas
Denegación de servicio - DoS - DDoS
Vulnerabilidad
XSS
CVE
Identificador CVE
Severidad
Explotación
Fabricante