ALT-PU-2021-3335-2

BDU:2021-06184

CRITICAL9.8

Уязвимость системы управления Moodle, связанная с ошибками управления генерации кода, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2021-12-17

CVSS 3.xКРИТИЧЕСКАЯ 9.8

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS 2.0КРИТИЧЕСКАЯ 10.0

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:C

Ссылки

CVE-2021-3943

BDU:2021-06185

MEDIUM6.5

Уязвимость системы управления Moodle, связанная с недостатками разграничения доступа, позволяющая нарушителю повысить привилегии

Опубликовано: 2021-12-17

CVSS 3.xСРЕДНЯЯ 6.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

CVSS 2.0СРЕДНЯЯ 6.4

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:N

Ссылки

CVE-2021-43560

BDU:2021-06186

MEDIUM6.1

Уязвимость системы управления Moodle, связанная с непринятием мер по защите структуры веб-страниц, позволяющая нарушителю осуществлять межсайтовые сценарные атаки (XSS)

Опубликовано: 2021-12-17

CVSS 3.xСРЕДНЯЯ 6.1

CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

CVSS 2.0СРЕДНЯЯ 6.4

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:N

Ссылки

CVE-2021-43558

BDU:2021-06190

MEDIUM6.1

Уязвимость функции «delete related badge» системы управления Moodle, связанная с межсайтовыми фольсификациями запросов, позволяющая нарушителю осуществить CSRF-атаку

Опубликовано: 2021-12-17

CVSS 3.xСРЕДНЯЯ 6.1

CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

CVSS 2.0СРЕДНЯЯ 6.4

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:N

Ссылки

CVE-2021-43559

CVE-2021-3943

CRITICAL9.8

A flaw was found in Moodle in versions 3.11 to 3.11.3, 3.10 to 3.10.7, 3.9 to 3.9.10 and earlier unsupported versions. A remote code execution risk when restoring backup files was identified.

Опубликовано: 2021-11-22Изменено: 2024-11-21

CVSS 2.0ВЫСОКАЯ 7.5

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 3.xКРИТИЧЕСКАЯ 9.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Ссылки

CVE-2021-40691

MEDIUM4.3

A session hijack risk was identified in the Shibboleth authentication plugin.

Опубликовано: 2022-09-29Изменено: 2024-11-21

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

Ссылки

CVE-2021-40692

MEDIUM4.3

Insufficient capability checks made it possible for teachers to download users outside of their courses.

Опубликовано: 2022-09-29Изменено: 2024-11-21

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Ссылки

CVE-2021-40693

MEDIUM6.5

An authentication bypass risk was identified in the external database authentication functionality, due to a type juggling vulnerability.

Опубликовано: 2022-09-29Изменено: 2024-11-21

CVSS 3.xСРЕДНЯЯ 6.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

Ссылки

CVE-2021-40694

MEDIUM4.9

Insufficient escaping of the LaTeX preamble made it possible for site administrators to read files available to the HTTP server system account.

Опубликовано: 2022-09-29Изменено: 2024-11-21

CVSS 3.xСРЕДНЯЯ 4.9

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

Ссылки

CVE-2021-40695

MEDIUM4.3

It was possible for a student to view their quiz grade before it had been released, using a quiz web service.

Опубликовано: 2022-09-29Изменено: 2024-11-21

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Ссылки

CVE-2021-43558

MEDIUM6.1

A flaw was found in Moodle in versions 3.11 to 3.11.3, 3.10 to 3.10.7, 3.9 to 3.9.10 and earlier unsupported versions. A URL parameter in the filetype site administrator tool required extra sanitizing to prevent a reflected XSS risk.

Опубликовано: 2021-11-22Изменено: 2024-11-21

CVSS 2.0СРЕДНЯЯ 4.3

CVSS:2.0/AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 3.xСРЕДНЯЯ 6.1

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Ссылки

CVE-2021-43559

HIGH8.8

A flaw was found in Moodle in versions 3.11 to 3.11.3, 3.10 to 3.10.7, 3.9 to 3.9.10 and earlier unsupported versions. The "delete related badge" functionality did not include the necessary token check to prevent a CSRF risk.

Опубликовано: 2021-11-22Изменено: 2024-11-21

CVSS 2.0СРЕДНЯЯ 6.8

CVSS:2.0/AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 3.xВЫСОКАЯ 8.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Ссылки

CVE-2021-43560

MEDIUM5.3

A flaw was found in Moodle in versions 3.11 to 3.11.3, 3.10 to 3.10.7, 3.9 to 3.9.10 and earlier unsupported versions. Insufficient capability checks made it possible to fetch other users' calendar action events.

Опубликовано: 2021-11-22Изменено: 2024-11-21

CVSS 2.0СРЕДНЯЯ 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS 3.xСРЕДНЯЯ 5.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Ссылки

GHSA-2jxg-mv2m-j4r7

MEDIUM6.5

Moodle type juggling vulnerability

Опубликовано: 2022-09-30Изменено: 2024-04-24

CVSS 3.xСРЕДНЯЯ 6.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

Ссылки

GHSA-3jrj-x6cj-97cp

HIGH8.8

Moodle contains CSRF vulnerability

Опубликовано: 2022-05-24Изменено: 2023-07-11

CVSS 3.xВЫСОКАЯ 8.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Ссылки

GHSA-8jhp-2gcr-qw96

CRITICAL9.8

Moodle vulnerable to RCE via unsafe deserialization

Опубликовано: 2021-11-23Изменено: 2023-07-11

CVSS 3.xКРИТИЧЕСКАЯ 9.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Ссылки

GHSA-92vh-mr2w-j2cr

MEDIUM4.3

Moodle Improper Authentication

Опубликовано: 2022-09-30Изменено: 2024-04-24

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

Ссылки

GHSA-g39c-mccf-rxjv

MEDIUM5.3

Moodle Insecure direct object reference (IDOR) in a calendar web service

Опубликовано: 2022-05-24Изменено: 2024-04-24

CVSS 3.xСРЕДНЯЯ 5.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Ссылки

GHSA-gp4w-f57r-9rx3

MEDIUM4.3

Moodle Exposure of Sensitive Information to an Unauthorized Actor

Опубликовано: 2022-09-30Изменено: 2024-04-24

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Ссылки

GHSA-m37g-mwcg-7j7v

MEDIUM4.9

Moodle Improper Encoding or Escaping of Output

Опубликовано: 2022-09-30Изменено: 2024-04-24

CVSS 3.xСРЕДНЯЯ 4.9

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

Ссылки

GHSA-wpfp-q843-v772

MEDIUM6.1

Cross-site Scripting in moodle

Опубликовано: 2021-11-23Изменено: 2022-06-17

CVSS 3.xСРЕДНЯЯ 6.1

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Ссылки

GHSA-wr6q-xv23-rfq9

MEDIUM4.3

Moodle Incorrect Authorization

Опубликовано: 2022-09-30Изменено: 2024-04-24

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Ссылки

Обновление пакета moodle в ветке p10

Закрытые проблемы (22)

Уязвимость системы управления Moodle, связанная с ошибками управления генерации кода, позволяющая нарушителю выполнить произвольный код

Уязвимость системы управления Moodle, связанная с недостатками разграничения доступа, позволяющая нарушителю повысить привилегии

Уязвимость функции «delete related badge» системы управления Moodle, связанная с межсайтовыми фольсификациями запросов, позволяющая нарушителю осуществить CSRF-атаку

A flaw was found in Moodle in versions 3.11 to 3.11.3, 3.10 to 3.10.7, 3.9 to 3.9.10 and earlier unsupported versions. A remote code execution risk when restoring backup files was identified.

A session hijack risk was identified in the Shibboleth authentication plugin.

Insufficient capability checks made it possible for teachers to download users outside of their courses.

An authentication bypass risk was identified in the external database authentication functionality, due to a type juggling vulnerability.

Insufficient escaping of the LaTeX preamble made it possible for site administrators to read files available to the HTTP server system account.

It was possible for a student to view their quiz grade before it had been released, using a quiz web service.

A flaw was found in Moodle in versions 3.11 to 3.11.3, 3.10 to 3.10.7, 3.9 to 3.9.10 and earlier unsupported versions. A URL parameter in the filetype site administrator tool required extra sanitizing to prevent a reflected XSS risk.

A flaw was found in Moodle in versions 3.11 to 3.11.3, 3.10 to 3.10.7, 3.9 to 3.9.10 and earlier unsupported versions. The "delete related badge" functionality did not include the necessary token check to prevent a CSRF risk.

A flaw was found in Moodle in versions 3.11 to 3.11.3, 3.10 to 3.10.7, 3.9 to 3.9.10 and earlier unsupported versions. Insufficient capability checks made it possible to fetch other users' calendar action events.

Moodle type juggling vulnerability

Moodle contains CSRF vulnerability

Moodle vulnerable to RCE via unsafe deserialization

Moodle Improper Authentication

Moodle Insecure direct object reference (IDOR) in a calendar web service

Moodle Exposure of Sensitive Information to an Unauthorized Actor

Moodle Improper Encoding or Escaping of Output

Cross-site Scripting in moodle

Moodle Incorrect Authorization