alerts.gdaverio.it

****************************************************************** Alert ID: GCSA-24133 data: 16 ottobre 2024 titolo: Aggiornamento di sicurezza per Moodle ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versioni della piattaforma di e-learning Moodle con le quali vengono risolte 6 vulnerabilita' di sicurezza. MSA-24-0045: Users' names returned in messaging error message MSA-24-0046: IDOR in edit/delete RSS feed MSA-24-0047: Some users can delete audiences of other reports MSA-24-0048: IDOR when accessing list of course badges MSA-24-0049: IDOR when accessing list of badge recipients MSA-24-0050: IDOR when fetching report schedules Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Moodle versioni precedenti alla 4.4.4 Moodle versioni precedenti alla 4.3.8 Moodle versioni precedenti alla 4.2.11 M

****************************************************************** Alert ID: GCSA-24073 data: 17 maggio 2024 titolo: Aggiornamento di sicurezza per Moodle ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versioni della piattaforma di e-learning Moodle con le quali vengono risolte 14 vulnerabilita' di sicurezza, delle quali 5 di gravita' alta. MSA-24-0007: Broken access control when setting calendar event type MSA-24-0008: Stored XSS risk when editing another user's equation in equation editor MSA-24-0009: Stored XSS via user's name on participants page when opening some options MSA-24-0010: Unsafe direct use of $_SERVER['HTTP_REFERER'] in admin/tool/mfa/index.php MSA-24-0011: Stored XSS in lesson overview report via user ID number MSA-24-0012: CSRF risk in admin preset tool management of presets MSA-24-0013: Authenticated LFI risk in some misc

****************************************************************** Alert ID: GCSA-24026 data: 22 Febbraio 2024 titolo: Aggiornamento di sicurezza per Moodle ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versioni della piattaforma di e-learning Moodle con le quali vengono risolte varie vulnerabilita' di sicurezza. MSA-24-0001: Denial of service risk in file picker unzip functionality MSA-24-0002: Forum search accepted random parameters in its URL MSA-24-0003: H5P attempts report did not respect activity group settings MSA-24-0004: Forum export did not respect activity group settings MSA-24-0005: CSRF risk in Language import utility MSA-24-0006: IDOR on dashboard comments block Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Moodle versioni precedenti alla 4.3.3 Moodle versioni precedenti alla 4.2.6 Moodle versioni precedenti alla 4.1.9 (LTS) ::

  ****************************************************************** alert ID: GCSA-23138 data: 19 Ottobre 2023 titolo: Aggiornamento di sicurezza per Moodle ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versioni della piattaforma di e-learning Moodle con le quali vengono risolte varie vulnerabilita' di sicurezza. MSA-23-0042: RCE due to LFI risk in some misconfigured shared hosting environments MSA-23-0036: Stored XSS and potential IDOR risk in Wiki comments MSA-23-0032: Authenticated remote code execution risk in IMSCP MSA-23-0031: Authenticated remote code execution risk in Lesson Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Moodle versioni precedenti alla 4.2.3 Moodle versioni precedenti alla 4.1.6 (LTS) Moodle versioni precedenti alla 4.0.11 Moodle versioni precedenti alla 3.11.17 (Unsupported Moodle Version) Moodle versioni precedenti a

  ******************************************************************* alert ID: GCSA-23103 data: 21 agosto 2023 titolo: Aggiornamento di sicurezza per Moodle ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versioni della piattaforma di e-learning Moodle con le quali vengono risolte varie vulnerabilita' di sicurezza. MSA-23-0019: Proxy bypass risk due to insufficient validation MSA-23-0020: Remote code execution risk when parsing malformed file repository reference MSA-23-0021: Some block permissions on Dashboard not respected MSA-23-0022: SQL injection risk in grader report sorting MSA-23-0023: Stored self-XSS escalated to stored XSS via OAuth 2 login MSA-23-0024: Private course participant data available from external grade report method MSA-23-0025: phpCAS library upgraded to 1.6.0 (upstream) MSA-23-0026: IDOR in message processor fragments allows fetching

****************************************************************** alert ID: GCSA-23076 data: 21 giugno 2023 titolo: Aggiornamento di sicurezza per Moodle ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versioni della piattaforma di e-learning Moodle con le quali vengono risolte alcune vulnerabilita' di sicurezza. MSA-23-0016: XSS risk on groups page MSA-23-0017: Minor SQL injection risk on Mnet SSO access control page MSA-23-0018: SSRF risk due to insufficient check on the cURL blocked hosts list Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Moodle versioni precedenti alla 4.2.1 Moodle versioni precedenti alla 4.1.4 Moodle versioni precedenti alla 4.0.9 Moodle versioni precedenti alla 3.11.15 Moodle versioni precedenti alla 3.9.22 Le versioni di Moodle precedenti alla 3.9 non sono piu' suppor

****************************************************************** Alert ID: GCSA-23010 data: 25 gennaio 2023 titolo: Aggiornamento di sicurezza per Moodle ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versioni della piattaforma di e-learning Moodle con le quali vengono risolte alcune vulnerabilita' di sicurezza. MSA-23-0001: Reflected XSS risk in some returnurl parameters MSA-23-0002: Reflected XSS risk in blog search MSA-23-0003: Possible to set the preferred "start page" of other users Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Moodle versioni precedenti alla 3.9.18 Moodle versioni precedenti alla 3.11.11 Moodle versioni precedenti alla 4.0.5 Moodle versioni precedenti alla 4.1 Le versioni di Moodle precedenti alla 3.9 non sono piu' supportate. :: Impatto Cross-site Script

****************************************************************** Alert ID: GCSA-22128 data: 23 novembre 2022 titolo: Aggiornamento di sicurezza per Moodle ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versioni della piattaforma di e-learning Moodle con le quali vengono risolte alcune vulnerabilita' di sicurezza. MSA-22-0028: Apply upstream security fix to VideoJS library to remove XSS risk MSA-22-0029: Course restore - CSRF token passed in course redirect URL MSA-22-0030: Reflected XSS risk in policy tool MSA-22-0031: Stored XSS possible in some "social" user profile fields MSA-22-0032: Blind SSRF risk in LTI provider library Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Moodle versioni precedenti alla 3.9.18 Moodle versioni precedenti alla 3.11.11 Moodle versioni precedenti alla 4.0.5

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ****************************************************************** alert ID: GCSA-22107 data: 20 settembre 2022 titolo: Aggiornamento di sicurezza per Moodle ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versioni della piattaforma di e-learning Moodle con le quali vengono risolte alcune vulnerabilita' di sicurezza. MSA-22-0023: Stored XSS and page denial of service risks due to recursive rendering in Mustache template helpers MSA-22-0024: Remote code execution risk when restoring malformed backup file from Moodle 1.9 MSA-22-0025: Minor SQL injection risk in admin user browsing MSA-22-0026: No groups filtering in H5P activity attempts report Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Moodle versioni precedenti alla 3.9.17 Moo

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ****************************************************************** alert ID: GCSA-22096 data: 30 agosto 2022 titolo: Aggiornamento di sicurezza per Moodle ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versioni della piattaforma di e-learning Moodle con le quali vengono risolte alcune vulnerabilita' di sicurezza. MSA-22-0021: Upgrade Mustache to latest version (upstream) MSA-22-0022: CSRF risk in enabling/disabling installed H5P libraries Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Moodle versioni precedenti alla 3.9.16 Moodle versioni precedenti alla 3.11.9 Moodle versioni precedenti alla 4.0.3 Le versioni di Moodle precedenti alla 3.9 non sono piu' supportate. :: Impatto Cross-Site Request Forgery (CSRF)

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ****************************************************************** alert ID: GCSA-22078 data: 19 luglio 2022 titolo: Aggiornamento di sicurezza per Moodle ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versioni della piattaforma di e-learning Moodle con le quali vengono risolte alcune vulnerabilita' di sicurezza. MSA-22-0015: PostScript Code Injection / Remote code execution risk MSA-22-0016: Arbitrary file read when importing lesson questions MSA-22-0017: Stored XSS and blind SSRF possible via SCORM track details MSA-22-0018: Open redirect risk in mobile auto-login feature MSA-22-0019: LTI module reflected XSS risk - affecting unauthenticated users only MSA-22-0020: Upgrade moodle-mlbackend-python and update its reference in /lib/mlbackend/python/classes/processor.php (upstream) Maggiori

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ****************************************************************** alert ID: GCSA-22057 data: 19 maggio 2022 titolo: Aggiornamento di sicurezza per Moodle ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versioni della piattaforma di e-learning Moodle con le quali vengono risolte alcune vulnerabilita' di sicurezza. MSA-22-0010: Stored XSS in assignment bulk marker allocation form via user ID number MSA-22-0011: Description field hidden by user policies (hiddenuserfields) is still visible MSA-22-0012: Global search results reveal authors of content unexpectedly for some activities MSA-22-0013: SQL injection risk in badge award criteria MSA-22-0014: Failed login attempts counted incorrectly Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** alert ID: GCSA-21105 data: 23 settembre 2021 titolo: Aggiornamento di sicurezza per Moodle e modulo Shibboleth ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versioni della piattaforma di e-learning Moodle che risolvono alcune vulnerabilita' di sicurezza, di cui una interessa anche il modulo Shibboleth di Moodle. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Moodle versioni precedenti alla 3.11.2, 3.10.6 e 3.9.9 :: Impatto Session hijack (sul modulo Shibboleth) Information Disclosure Arbitrary File Read Authentication Bypass Security Control Bypass :: Soluzioni Aggiornare alle versioni piu' recenti Moodle 3.11.2, 3.10.6 e 3.9.9 https://docs.moodle.org/311/en/Upgrading

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** Alert ID : GCSA-21087 Data : 12 agosto 2021 Titolo : Vulnerabilita' in Shibboleth Plugin per Moodle ****************************************************************** :: Descrizione del problema E' stata riscontrata una vulnerabilita' remota nel plugin di autenticazione Shibboleth per Moodle. :: Software interessato Moodle 3.11, da 3.10 a 3.10.4, da 3.9 a 3.9.7 e versioni precedenti :: Impatto La vulnerabilita' e' remota e considerata "serious" per coloro che utilizzano Shibboleth come sistema di autenticazione per Moodle :: Soluzioni Aggiornare Moodle alla versione 3.11.1, 3.10.5 3.9.8 https://download.moodle.org/ :: Riferimenti https://moodle.org/mod/forum/discuss.php?d=424799#p1710818 https://git.moodle.org/gw?p=moodle.git;a=commit;h=5bc561ee7ad31b769815821280f8a3f5bd69c31b

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** alert ID: GCSA-21072 data: 13 luglio 2021 titolo: Aggiornamento di sicurezza per Moodle ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versioni della piattaforma di e-learning Moodle che risolvono alcune vulnerabilita' di sicurezza. I dettagli su i problemi di sicurezza verranno rilasciati tra circa una settimana, per consentire agli amministratori di sistema di aggiornare in modo sicuro alla versione piu' recente. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Software interessato Moodle versioni precedenti alla 3.11.1, 3.10.5 e 3.9.8 :: Impatto Attualmente non disponibile :: Soluzioni Aggiornare alle versioni piu' recenti Moodle 3.11.1, 3.10.5 e 3.9.8

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ****************************************************************** Alert ID: GCSA-21012 Data: 28 Gennaio 2021 Titolo: Aggiornamento di sicurezza per Moodle ****************************************************************** :: Descrizione del problema Sono state rilasciate nuove versioni della piattaforma di e-learning Moodle, con le quali vengono risolte alcune vulnerabilita'. MSA-21-0001: Search input template insufficiently escaped search queries MSA-21-0002: Grade information disclosure in grade's external fetch functions MSA-21-0003: Client side denial of service via personal message MSA-21-0004: Stored XSS possible via TeX notation filter MSA-21-0005: Arbitrary PHP code execution by site admins via Shibboleth configuration Maggiori informazioni sono disponibili nella segnalazione ufficiale alla sezione "Riferimenti". :: Software interessato Moodle versioni precedenti alla 3.10.1