Múltiples vulnerabilidades en Moodle Mar, 23/06/2026 - 10:07

        Aviso

Recursos Afectados
          5.2, 5.1 a 5.1.4, 5.0 a 5.0.7, 4.5 a 4.5.11 y versiones anteriores no compatibles.

Descripción
          Moodle ha publicado 18 vulnerabilidades: 9 de severidad alta, que de ser explotadas, podrían permitir a un atacante poner en riesgo la información. 

Identificador
          INCIBE-2026-450

Solución
          Actualizar a las siguientes versiones 5.2.1, 5.1.5, 5.0.8 y 4.5.12.

Detalle
          Aun no se ha asignado CVE a las vulnerabilidades, pero Moodle les ha asignado un identificador propio. Estos se describen a continuación:MDL-87898 Riesgo de denegación de servicio (DoS) a través de la descripción del perfil de usuario.MDL-88529 Falta la comprobación de capacidad en la asignación del marcador de asignación.MDL-88531 Riesgo de CSRF en la recalificación de intentos de cuestionario.MDL-88542 CSRF y XSS en la edición del número de identificación del elemento de grado.MDL-88619 IDOR permite la eliminación arbitraria de comentarios.MDL-88667 Faltan comprobaciones de acceso de grupo en los servicios web de calificaciones.MDL-88735 Riesgo de RCE mediante la importación de preajustes de administrador.MDL-88736 Riesgo de lectura arbitraria de archivos en la restauración de copias de seguridad.MDL-88767 Omisión de MFA basada en correo electrónico.MDL-88595 Riesgo de lectura arbitraria de archivos en el módulo de actividad de la base de datos.

        5 - Crítica

  Listado de referencias

          MSA-26-0017: IDOR allows arbitrary comment deletion

           MSA-26-0015: RCE risk via admin presets import

          MSA-26-0014: Arbitrary file read risk in backup restore

          MSA-26-0013: Email-based MFA bypass

          MSA-26-0012: Arbitrary file read risk in Database activity module

          MSA-26-0019: CSRF risk in user profile page reset

          MSA-26-0018: CSRF risk in user homepage preference setting

          MSA-26-0028: DoS risk via user profile description

          MSA-26-0026: Missing capability check in Assignment marker allocation

          MSA-26-0025: CSRF risk in quiz attempt regrading

          MSA-26-0021: CSRF and XSS in grade item idnumber editing

Etiquetas

        Denegación de servicio - DoS - DDoS
        Vulnerabilidad
        XSS

CVE

                        Identificador CVE
                        Severidad
                        Explotación
                        Fabricante

Llegir l'article original