Numéro : AV17-036
Date : Le 21 mars 2017
Objet
L’objectif de cet avis est d’attirer l’attention sur de multiples vulnérabilités de sécurité affectant Moodle.
Évaluation
Moodle a publié les articles de support suivant :
MSA-17-0005 - SQL injection via les préférences utilisateurs
MSA-17-0007 - Recherche global afficher les noms d’utilisateurs non authentifiés
MSA-17-0008 - XSS d’apprentissage antérieur
MSA-17-0009 - XSS d’attachement d’apprentissage antérieur
Versions affectées: 3.2 à 3.2.1, 3.1 à 3.1.4, 3.0 à 3.0.8, 2.7.0 à 2.7.18 et autres versions non supportées
Références CVE : CVE-2017-2641, CVE-2017-2643, CVE-2017-2644, CVE-2017-2645
Mesures Recommandées
Le CCRIC recommande que les administrateurs de système mettent à l'essai et déploient les mises à jour diffusées par le fournisseur aux applications concernées.
Références :
- https://moodle.org/mod/forum/discuss.php?d=349419 (en anglais)
- https://moodle.org/mod/forum/discuss.php?d=349420 (en anglais)
- https://moodle.org/mod/forum/discuss.php?d=349421 (en anglais)
- https://moodle.org/mod/forum/discuss.php?d=349422 (en Anglais)