Los intentos de engaño hacen referencia a supuestos reembolsos o devoluciones de impuestos, mediante envíos de comunicaciones masivas por correo electrónico en los que se suplanta la identidad e imagen de la Agencia Estatal de Administración Tributaria, o bien la identidad de sus directivos. Con frecuencia, los intentos de fraude hacen referencia a una supuesta información que imposibilita el envío de la devolución de la campaña de Renta y suplanta la imagen de la Agencia Tributaria.
En estos envíos de correos fraudulentos, conocidos como “phishing”, se hace referencia a un reembolso de impuestos inexistente en la que el receptor del e-mail sale beneficiado. Para poder disponer del dinero hay que acceder a una dirección web o rellenar un formulario en los que se deben aportar datos de cuentas bancarias o tarjetas de crédito o débito.
La Agencia Tributaria recuerda que la mejor medida es la prevención de los usuarios ante comunicaciones sospechosas que incluyan la petición de datos bancarios.
Más información
Agencia Tributaria
Los intentos de engaño hacen referencia a supuestos reembolsos o devoluciones de impuestos, mediante envíos de comunicaciones masivas por correo electrónico en los que se suplanta la identidad e imagen de la Agencia Estatal de Administración Tributaria, o bien la identidad de sus directivos. Con frecuencia, los intentos de fraude hacen referencia a una supuesta información que imposibilita el envío de la devolución de la campaña de Renta y suplanta la imagen de la Agencia Tributaria.
En estos envíos de correos fraudulentos, conocidos como “phishing”, se hace referencia a un reembolso de impuestos inexistente en la que el receptor del e-mail sale beneficiado. Para poder disponer del dinero hay que acceder a una dirección web o rellenar un formulario en los que se deben aportar datos de cuentas bancarias o tarjetas de crédito o débito.
La Agencia Tributaria recuerda que la mejor medida es la prevención de los usuarios ante comunicaciones sospechosas que incluyan la petición de datos bancarios.
Más información
Agencia Tributaria
von Michael Hawkins. When a cohort role assignment was removed, the associated capabilites were not being revoked (where applicable).Severity/Risk:MinorVersions affected:3.7 to 3.7.2, 3.6 to 3.6.6, 3.5 to 3.5.8 and earlier unsupported versionsVersions fixed:3.7.3, 3.6.7 and 3.5.9Reported by:Yusuf Yilmaz, Mick CassellCVE identifier:CVE-2019-14879Changes (master):http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-66257Tracker issue:MDL-66257 Assigned Role in
More info:
https://moodle.org/mod/forum/discuss.php?d=393582&parent=1586743
von Michael Hawkins. OAuth 2 providers who do not verify users email address changes require additional verification during sign-up to reduce the risk of account compromise.Severity/Risk:SeriousVersions affected:3.7 to 3.7.2, 3.6 to 3.6.6, 3.5 to 3.5.8 and earlier unsupported versionsVersions fixed:3.7.3, 3.6.7 and 3.5.9Reported by:CeDiS TeamWorkaround:Disable login via OAuth 2 providers that may be affected, until the patch is applied.CVE identifier:CVE-2019-14880Changes
More info:
https://moodle.org/mod/forum/discuss.php?d=393583&parent=1586744
von Michael Hawkins. User emails required additional sanitizing to prevent blind XSS risk on some pages.Severity/Risk:MinorVersions affected:3.7 to 3.7.2Versions fixed:3.7.3Reported by:Yuri ZwaigCVE identifier:CVE-2019-14881Changes (master):http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-66762Tracker issue:MDL-66762 Blind XSS reflected in some locations where user email is displayed
More info:
https://moodle.org/mod/forum/discuss.php?d=393584&parent=1586746
von Michael Hawkins. An open redirect existed in the Lesson edit page.Severity/Risk:MinorVersions affected:3.7 to 3.7.2, 3.6 to 3.6.6, 3.5 to 3.5.8 and earlier unsupported versionsVersions fixed:3.7.3, 3.6.7 and 3.5.9Reported by:Paul HoldenCVE identifier:CVE-2019-14882Changes (master):http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-66228Tracker issue:MDL-66228 Open redirect in Lesson edit page
More info:
https://moodle.org/mod/forum/discuss.php?d=393585&parent=1586747
von Michael Hawkins. Tokens used to fetch inline attachments in email notifications were not disabled when a users account was no longer active. Note: to access files, a user would need to know the file path, and their token.Severity/Risk:MinorVersions affected:3.7 to 3.7.2 and 3.6 to 3.6.6Versions fixed:3.7.3 and 3.6.7Reported by:Juan LeyvaCVE identifier:CVE-2019-14883Changes (master):http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-66377Tracker
More info:
https://moodle.org/mod/forum/discuss.php?d=393586&parent=1586750
von Michael Hawkins. Messages required extra sanitizing before updating the conversation overview, to prevent the risk of stored XSS.Severity/Risk:SeriousVersions affected:3.8Versions fixed:3.8.1Reported by:Cid da CostaWorkaround:Disable the messaging system until the patch has been applied.CVE identifier:CVE-2020-1691Changes (master):http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-67637Tracker issue:MDL-67637 Stored XSS in message conversation overview
More info:
https://moodle.org/mod/forum/discuss.php?d=395953&parent=1596360
von Michael Hawkins. Fatal error messages required extra sanitizing to prevent reflected XSS risks on some pages.Severity/Risk:SeriousVersions affected:3.7 to 3.7.2, 3.6 to 3.6.6, 3.5 to 3.5.8 and earlier unsupported versionsVersions fixed:3.7.3, 3.6.7 and 3.5.9Reported by:Yuriy DyachenkoCVE identifier:CVE-2019-14884Changes (master):http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-66161Tracker issue:MDL-66161 Reflected XSS possible from some fatal error
More info:
https://moodle.org/mod/forum/discuss.php?d=393587&parent=1586751
von Michael Hawkins. X-Forwarded-For headers could be used to spoof a users IP, in order to bypass remote address checks.PATCH NOTE: For user IPs to be checked (and logged) accurately after this patch is applied, sites using multiple levels of reverse proxies/balancers that append to the X-Forwarded-For header will need to configure the new "reverseproxyignore" setting. This ensures the IPs of the later proxies are ignored in favour of the users IP. Severity/Risk: Serious
More info:
https://moodle.org/mod/forum/discuss.php?d=398351&parent=1606855
