Argitalpen data: 2022/03/21
Garrantzia:Kritikoa
Kaltetutako baliabideak:
Bertsioak:
- 3.11 bertsiotik 3.11.5 bertsiora;
- 3.10 bertsiotik 3.10.9 bertsiora;
- 3.9 bertsiotik 3.9.12 bertsiora;
- zerbitzurik gabeko lehenagoko bertsioak.
Azalpena:
Chris Pratt, Andrew Lyons eta Sara Arjona ikertzaileek 5 ahultasunen berri eman dute: 1 larritasun kritikokoa eta 4 baxukoak. Horiek baliatuz erasotzaile batek SQL injekzio bat egin lezake, erabiltzaile kontuak ezabatu, ikastaroetako intsigniak konfiguratu profileko eremuetako irizpideekin eta ahultasunak baliatu PHPMailer eta CKEditor liburutegietan.
Konponbidea:
3.11.6, 3.10.10 eta 3.9.13 bertsioetara eguneratzea, hurrenez hurren.
Xehetasuna:
- SQL injekzio erako ahultasun bat identifikatu zen badges-en (intsigniak) kodean, irizpideen konfigurazioarekin erlazionatuta. Ahultasun hau soilik da atzigarria lehenetsitako irakasle/kudeatzaile/administratzaileentzat, intsignien irizpideak gehitzeko eta aktibatzeko gaitasuna beharrezkoa baita. Ahultasun kritiko horretarako CVE-2022-0983 identifikatzailea erabili da.
Larritasun txikiko ahultasunen artetik bitarako CVE-2022-0985 eta CVE-2022-0984 identifikatzaileak esleitu dira. Gainerako biek ez daukate CVErik esleituta.
Etiketak:Eguneraketa, CMS, Komunikazioak, PHP, Ahultasuna