MSA-23-0042: RCE debido al riesgo de LFI en algunos entornos de alojamiento compartido mal configurados.
En un entorno de alojamiento compartido que ha sido mal configurado para permitir el acceso al contenido de otros usuarios, un usuario de Moodle que también tenga acceso directo al servidor web fuera de la raíz web de Moodle podría utilizar un archivo local incluido para lograr la ejecución remota de código. (CVE-2023-5550)

MSA-23-0036: XSS almacenado y riesgo potencial de IDOR en los comentarios de Wiki.
Los comentarios de Wiki requirieron restricciones de acceso y desinfección adicionales para evitar un riesgo XSS almacenado y un riesgo potencial de IDOR. (CVE-2023-5544)

MSA-23-0032: Riesgo de ejecución remota de código autenticado en IMSCP.
Se identificó un riesgo de ejecución remota de código en la actividad IMSCP. Por defecto, esto sólo estaba disponible para profesores y directivos. (CVE-2023-5540)

MSA-23-0031: Riesgo de ejecución remota de código autenticado en la lección.
Se identificó un riesgo de ejecución remota de código en la actividad de la Lección. Por defecto, esto sólo estaba disponible para profesores y directivos. (CVE-2023-5539)

Versiones:

• 4.2 a 4.2.2
• 4.1 a 4.1.5
• 4.0 a 4.0.10
• 3.11 a 3.11.16
• 3.9 a 3.9.23
• anteriores

Actualizar a versiones 4.2.3, 4.1.6, 4.0.11, 3.11.17 y 3.9.24.

Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es