Mahara es una aplicación web, de código abierto, creada en 2006 para administrar y gestionar portafolios digitales (e-Portfolio), y comunidades online en el contexto del e-learning o formación online.
Es muy utilizado como complemento a plataformas de e-learning como Moodle.
El total de cuatro vulnerabilidades publicadas, que afectan a Mahara 1.x, se explican a continuación con sus correspondientes CVEs:
* CVE-2011-2771:
Un error de falta de validación de los atributos URI de los bloques de feeds RSS externos podría ser utilizado por un atacante remoto para llevar a cabo ataques Cross Site Scripting (XSS) a través de feeds RSS especialmente manipulados.
* CVE-2011-2772:
Una falta de comprobación del tamaño en las funciones de redimensionado de imágenes podría permitir a un atacante remoto causar una denegación de servicio a través del envío de una imagen especialmente manipulada.
* CVE-2011-2773:
Un fallo de falta de validación de la clave de sesión del usuario en 'addtoinstitution.php' podría ser aprovechado por un atacante remoto para realizar ataques Cross-Site Request Forgery (CSRF) y añadir usuarios a una institución.
* CVE-2011-2774:
Un atacante remoto podría aprovechar un error en la funcionalidad 'Reply to message' para revelar información contenida en mensajes privados de otros usuarios mediante la modificación del parámetro 'replyto'.
En la página oficial, se encuentra disponible la versión de Mahara 1.4.1 que corrige todas las vulnerabilidades anteriores.
Opina sobre esta noticia:
http://unaaldia.hispasec.com/2011/11/multiples-vulnerabilidades-en-mahara-1x.html#comments
Más información:
Mahara 1.4.1 Release Notes
https://launchpad.net/mahara/+milestone/1.4.1
https://bugs.launchpad.net/mahara/+bug/798136
https://bugs.launchpad.net/mahara/+bug/784978
https://bugs.launchpad.net/mahara/+bug/800032
https://bugs.launchpad.net/mahara/+bug/798128
Fuente:
Juan José Ruiz
jruiz@hispasec.com
Laboratorio Hispasec
www.hispasec.com
Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com
