Sintesi

Rilevate 14 nuove vulnerabilità in Moodle, nota piattaforma open source tipicamente utilizzata per l’erogazione dei corsi in modalità e-learning, di cui 5 con gravità “alta”.

Tipologia

• Security Restrictions Bypass
• Arbitrary File Upload

Prodotti e versioni affette

Moodle

• 4.3.x, versione 4.3.3 e precedenti
• 4.2.x, versione 4.2.6 e precedenti
• 4.1.x, versione 4.1.9 e precedenti
• tutte le versioni non supportate

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di applicare le mitigazioni disponibili seguendo le indicazioni riportate nei bollettini di sicurezza riportati nella sezione Riferimenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”:

CVE-2024-34005

CVE-2024-34004

CVE-2024-34003

CVE-2024-34002

CVE-2024-33996

Riferimenti

https://moodle.org/mod/forum/discuss.php?d=458394

https://moodle.org/mod/forum/discuss.php?d=458393

https://moodle.org/mod/forum/discuss.php?d=458391

https://moodle.org/mod/forum/discuss.php?d=458390

https://moodle.org/mod/forum/discuss.php?d=458384

https://moodle.org/security/

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.