Alert GCSA-25025 - Aggiornamento di sicurezza per Moodle
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
******************************************************************
alert ID: GCSA-25025
data: 18 febbraio 2025
titolo: Aggiornamento di sicurezza per Moodle
******************************************************************
:: Descrizione del problema
Sono state rilasciate nuove versioni della piattaforma di e-learning Moodle
con le quali vengono risolte 10 vulnerabilita' di sicurezza.
MSA-25-0001: Arbitrary file read risk through pdfTeX
MSA-25-0002: Feedback response viewing and deletions did not respect Separate Groups mode
MSA-25-0003: Non-searchable tags can still be discovered on the tag search page and in the tags block
MSA-25-0004: Stored XSS in ddimageortext question type
MSA-25-0005: Stored XSS risk in admin live log
MSA-25-0006: Reflected XSS via question bank filter
MSA-25-0007: Upgrade RequireJS including security fix (upstream)
MSA-25-0008: IDOR in badges allows disabling of arbitrary badges
MSA-25-0009: Teachers can evade trusttext config when restoring glossary entries
MSA-25-0010: SQL injection risk in course search module list filter
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software interessato
Moodle versioni precedenti alla 4.5.2
Moodle versioni precedenti alla 4.4.6
Moodle versioni precedenti alla 4.3.10
Moodle versioni precedenti alla 4.1.16
L'editore specifica che le versioni precedenti alla 4.1.x sono vulnerabili
e non beneficeranno degli aggiornamenti di sicurezza.
:: Impatto
Bypass delle funzionalita' di sicurezza (SFB)
Accesso a dati riservati (ID)
Attacco all'integrita' dei dati (Data Manipulation)
Cross-site Scripting (XSS)
:: Soluzioni
Aggiornare alle versioni piu' recenti
Moodle 4.5.2, 4.4.6, 4.3.10 and 4.1.16
https://moodledev.io/general/releases
https://docs.moodle.org/405/en/Upgrading
https://download.moodle.org/releases/latest/
https://download.moodle.org/releases/security/
:: Riferimenti
Moodle - Annunci di sicurezza
https://moodle.org/security/
https://moodle.org/mod/forum/discuss.php?d=466141
https://moodle.org/mod/forum/discuss.php?d=466142
https://moodle.org/mod/forum/discuss.php?d=466143
https://moodle.org/mod/forum/discuss.php?d=466144
https://moodle.org/mod/forum/discuss.php?d=466145
https://moodle.org/mod/forum/discuss.php?d=466146
https://moodle.org/mod/forum/discuss.php?d=466147
https://moodle.org/mod/forum/discuss.php?d=466148
https://moodle.org/mod/forum/discuss.php?d=466149
https://moodle.org/mod/forum/discuss.php?d=466150
Moodle 4.5.2 release notes
https://moodledev.io/general/releases/4.5/4.5.2
Moodle 4.4.6 release notes
https://moodledev.io/general/releases/4.4/4.4.6
Moodle 4.3.10 release notes
https://moodledev.io/general/releases/4.3/4.3.10
Moodle 4.1.16 release notes
https://moodledev.io/general/releases/4.1/4.1.16
Moodle Security
https://docs.moodle.org/405/en/Security
Riferimenti CVE
I riferimenti CVE sono disponibili negli advisory originali.
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZ7S3Xw0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCtyUAn1HK9avQDxMjLBVeTPOv/y1qtr+2AKDOzPsKFx88
PQK7huLB2/NztPg+QA==
=CePz
-----END PGP SIGNATURE-----
Hash: SHA256
******************************************************************
alert ID: GCSA-25025
data: 18 febbraio 2025
titolo: Aggiornamento di sicurezza per Moodle
******************************************************************
:: Descrizione del problema
Sono state rilasciate nuove versioni della piattaforma di e-learning Moodle
con le quali vengono risolte 10 vulnerabilita' di sicurezza.
MSA-25-0001: Arbitrary file read risk through pdfTeX
MSA-25-0002: Feedback response viewing and deletions did not respect Separate Groups mode
MSA-25-0003: Non-searchable tags can still be discovered on the tag search page and in the tags block
MSA-25-0004: Stored XSS in ddimageortext question type
MSA-25-0005: Stored XSS risk in admin live log
MSA-25-0006: Reflected XSS via question bank filter
MSA-25-0007: Upgrade RequireJS including security fix (upstream)
MSA-25-0008: IDOR in badges allows disabling of arbitrary badges
MSA-25-0009: Teachers can evade trusttext config when restoring glossary entries
MSA-25-0010: SQL injection risk in course search module list filter
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software interessato
Moodle versioni precedenti alla 4.5.2
Moodle versioni precedenti alla 4.4.6
Moodle versioni precedenti alla 4.3.10
Moodle versioni precedenti alla 4.1.16
L'editore specifica che le versioni precedenti alla 4.1.x sono vulnerabili
e non beneficeranno degli aggiornamenti di sicurezza.
:: Impatto
Bypass delle funzionalita' di sicurezza (SFB)
Accesso a dati riservati (ID)
Attacco all'integrita' dei dati (Data Manipulation)
Cross-site Scripting (XSS)
:: Soluzioni
Aggiornare alle versioni piu' recenti
Moodle 4.5.2, 4.4.6, 4.3.10 and 4.1.16
https://moodledev.io/general/releases
https://docs.moodle.org/405/en/Upgrading
https://download.moodle.org/releases/latest/
https://download.moodle.org/releases/security/
:: Riferimenti
Moodle - Annunci di sicurezza
https://moodle.org/security/
https://moodle.org/mod/forum/discuss.php?d=466141
https://moodle.org/mod/forum/discuss.php?d=466142
https://moodle.org/mod/forum/discuss.php?d=466143
https://moodle.org/mod/forum/discuss.php?d=466144
https://moodle.org/mod/forum/discuss.php?d=466145
https://moodle.org/mod/forum/discuss.php?d=466146
https://moodle.org/mod/forum/discuss.php?d=466147
https://moodle.org/mod/forum/discuss.php?d=466148
https://moodle.org/mod/forum/discuss.php?d=466149
https://moodle.org/mod/forum/discuss.php?d=466150
Moodle 4.5.2 release notes
https://moodledev.io/general/releases/4.5/4.5.2
Moodle 4.4.6 release notes
https://moodledev.io/general/releases/4.4/4.4.6
Moodle 4.3.10 release notes
https://moodledev.io/general/releases/4.3/4.3.10
Moodle 4.1.16 release notes
https://moodledev.io/general/releases/4.1/4.1.16
Moodle Security
https://docs.moodle.org/405/en/Security
Riferimenti CVE
I riferimenti CVE sono disponibili negli advisory originali.
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZ7S3Xw0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCtyUAn1HK9avQDxMjLBVeTPOv/y1qtr+2AKDOzPsKFx88
PQK7huLB2/NztPg+QA==
=CePz
-----END PGP SIGNATURE-----