Все бюллетени/sisyphus_e2k/ALT-PU-2024-16675-1
ALT-PU-2024-16675-1

Обновление пакета moodle в ветке sisyphus_e2k

Версия4.5.0-alt1
Задание#0
Опубликовано2024-12-07
Макс. серьёзностьHIGH
Серьёзность:

Закрытые проблемы (49)

BDU:2024-06552
HIGH8.8

Уязвимость виртуальной обучающей среды Moodle, существующая из-за непринятия мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2024-08-30Изменено: 2024-11-25
CVSS 3.xВЫСОКАЯ 8.8
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVSS 2.0КРИТИЧЕСКАЯ 9.0
CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:C
Ссылки
BDU:2024-09425
HIGH7.5

Уязвимость виртуальной обучающей среды Moodle, связанная с отсутствием авторизации, позволяющая нарушителю удалить данные

Опубликовано: 2024-11-14Изменено: 2024-11-25
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
CVSS 2.0ВЫСОКАЯ 7.8
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:C/A:N
Ссылки
BDU:2024-10186
HIGH8.1

Уязвимость виртуальной обучающей среды Moodle, связанная с подделкой межсайтовых запросов, позволяющая нарушителю осуществить CSRF-атаку

Опубликовано: 2024-11-25
CVSS 3.xВЫСОКАЯ 8.1
CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
CVSS 2.0КРИТИЧЕСКАЯ 9.4
CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:N
Ссылки
BDU:2024-10188
HIGH7.5

Уязвимость виртуальной обучающей среды Moodle, связанная с неправильным ограничением имени пути к ограниченному каталогу, позволяющая нарушителю получить доступ к конфиденциальным данным

Опубликовано: 2024-11-25
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CVSS 2.0ВЫСОКАЯ 7.8
CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:N/A:N
Ссылки
BDU:2024-10189
HIGH7.7

Уязвимость виртуальной обучающей среды Moodle, связанная с раскрытием информации посредством кэширования, позволяющая нарушителю получить доступ к конфиденциальной информации

Опубликовано: 2024-11-25
CVSS 3.xВЫСОКАЯ 7.7
CVSS:3.x/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
CVSS 2.0СРЕДНЯЯ 6.6
CVSS:2.0/AV:L/AC:L/Au:N/C:C/I:C/A:N
Ссылки
BDU:2024-10190
HIGH7.2

Уязвимость виртуальной обучающей среды Moodle, связанная с непринятием мер по защите структуры запроса SQL, позволяющая нарушителю выполнять произвольные SQL-запросы в базе данных

Опубликовано: 2024-11-25
CVSS 3.xВЫСОКАЯ 7.2
CVSS:3.x/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
CVSS 2.0ВЫСОКАЯ 8.3
CVSS:2.0/AV:N/AC:L/Au:M/C:C/I:C/A:C
Ссылки
BDU:2024-10191
MEDIUM5.3

Уязвимость виртуальной обучающей среды Moodle, связанная недостатками разграничения доступа, позволяющая нарушителю скомпрометировать целевую систему

Опубликовано: 2024-11-25
CVSS 3.xСРЕДНЯЯ 5.3
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:P/A:N
Ссылки
BDU:2024-10192
MEDIUM5.4

Уязвимость виртуальной обучающей среды Moodle, существующая из-за непринятия мер по защите структуры веб-страницы, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS)

Опубликовано: 2024-11-25
CVSS 3.xСРЕДНЯЯ 5.4
CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
CVSS 2.0СРЕДНЯЯ 6.4
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:N
Ссылки
BDU:2024-10193
MEDIUM5.3

Уязвимость виртуальной обучающей среды Moodle, связанная с хранением критичной информации в открытом виде, позволяющая нарушителю получить доступ конфиденциальной информации

Опубликовано: 2024-11-25
CVSS 3.xСРЕДНЯЯ 5.3
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N
Ссылки
BDU:2024-10194
MEDIUM5.4

Уязвимость виртуальной обучающей среды Moodle, существующая из-за непринятия мер по защите структуры веб-страницы, позволяющая нарушителю выполнять атаки с использованием межсайтового скриптинга (XSS)

Опубликовано: 2024-11-25
CVSS 3.xСРЕДНЯЯ 5.4
CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
CVSS 2.0СРЕДНЯЯ 6.4
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:N
Ссылки
BDU:2024-10225
MEDIUM5.4

Уязвимость виртуальной обучающей среды Moodle, связанная с незащищённым хранением конфиденциальной информации, позволяющая нарушителю получить доступ конфиденциальной информации

Опубликовано: 2024-11-25Изменено: 2024-11-27
CVSS 3.xСРЕДНЯЯ 5.4
CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
CVSS 2.0СРЕДНЯЯ 6.4
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:N
Ссылки
BDU:2024-10259
MEDIUM5.4

Уязвимость виртуальной обучающей среды Moodle, связанная с недостатками контроля доступа, позволяющая нарушителю получить несанкционированный доступ к ограниченным функциональным возможностям

Опубликовано: 2024-11-26
CVSS 3.xСРЕДНЯЯ 5.4
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
CVSS 2.0СРЕДНЯЯ 5.5
CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:P/A:P
Ссылки
BDU:2024-10260
MEDIUM5.4

Уязвимость виртуальной обучающей среды Moodle, связанная с недостатками процедуры аутентификации, позволяющая нарушителю обойти процесс аутентификации

Опубликовано: 2024-11-26
CVSS 3.xСРЕДНЯЯ 5.4
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
CVSS 2.0СРЕДНЯЯ 5.5
CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:P/A:N
Ссылки
BDU:2024-10261
MEDIUM6.5

Уязвимость виртуальной обучающей среды Moodle, связанная с отсутствием процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к элементам системы

Опубликовано: 2024-11-26
CVSS 3.xСРЕДНЯЯ 6.5
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
CVSS 2.0СРЕДНЯЯ 4.0
CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:P/A:N
Ссылки
BDU:2024-10262
MEDIUM4.3

Уязвимость виртуальной обучающей среды Moodle, связанная с недостатками процедуры аутентификации, позволяющая нарушителю получить несанкционированный доступ к элементам системы

Опубликовано: 2024-11-26
CVSS 3.xСРЕДНЯЯ 4.3
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CVSS 2.0СРЕДНЯЯ 4.0
CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:P/A:N
Ссылки
BDU:2024-10263
MEDIUM6.5

Уязвимость виртуальной обучающей среды Moodle, связанная с недостатками процедуры аутентификации, позволяющая нарушителю получить несанкционированный доступ к элементам системы

Опубликовано: 2024-11-26
CVSS 3.xСРЕДНЯЯ 6.5
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
CVSS 2.0СРЕДНЯЯ 6.8
CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:C/A:N
Ссылки
BDU:2024-10264
MEDIUM4.3

Уязвимость виртуальной обучающей среды Moodle, связанная с недостатками механизма формирования отчетов об ошибках, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2024-11-26
CVSS 3.xСРЕДНЯЯ 4.3
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
CVSS 2.0СРЕДНЯЯ 4.0
CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:N/A:N
Ссылки
BDU:2024-10437
MEDIUM6.5

Уязвимость модуля core_table/dynamic виртуальной обучающей среды Moodle, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2024-11-29Изменено: 2024-12-05
CVSS 3.xСРЕДНЯЯ 6.5
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
CVSS 2.0СРЕДНЯЯ 6.8
CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:N/A:N
Ссылки
BDU:2024-10528
HIGH7.3

Уязвимость виртуальной обучающей среды Moodle, связанная с использованием небезопасных прямых ссылок на объекты, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2024-12-02
CVSS 3.xВЫСОКАЯ 7.3
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
CVSS 2.0ВЫСОКАЯ 7.5
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:P
Ссылки
CVE-2024-38273
MEDIUM5.4

Insufficient capability checks meant it was possible for users to gain access to BigBlueButton join URLs they did not have permission to access.

Опубликовано: 2024-06-18Изменено: 2025-08-07
CVSS 3.xСРЕДНЯЯ 5.4
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L
Ссылки
CVE-2024-38274
MEDIUM6.1

Insufficient escaping of calendar event titles resulted in a stored XSS risk in the event deletion prompt.

Опубликовано: 2024-06-18Изменено: 2025-08-07
CVSS 3.xСРЕДНЯЯ 6.1
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Ссылки
CVE-2024-38276
HIGH8.8

Incorrect CSRF token checks resulted in multiple CSRF risks.

Опубликовано: 2024-06-18Изменено: 2025-03-26
CVSS 3.xВЫСОКАЯ 8.8
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Ссылки
CVE-2024-38277
MEDIUM5.4

A unique key should be generated for a user's QR login key and their auto-login key, so the same key cannot be used interchangeably between the two.

Опубликовано: 2024-06-18Изменено: 2025-08-07
CVSS 3.xСРЕДНЯЯ 5.4
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Ссылки
CVE-2024-43427
LOW3.7

A flaw was found in moodle. When creating an export of site administration presets, some sensitive secrets and keys are not being excluded from the export, which could result in them unintentionally being leaked if the presets are shared with a third party.

Опубликовано: 2024-11-11Изменено: 2025-05-01
CVSS 3.xНИЗКАЯ 3.7
CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Ссылки
CVE-2024-43432
MEDIUM5.3

A flaw was found in moodle. The cURL wrapper in Moodle strips HTTPAUTH and USERPWD headers during emulated redirects, but retains other original request headers, so HTTP authorization header information could be unintentionally sent in requests to redirect URLs.

Опубликовано: 2024-11-11Изменено: 2025-05-01
CVSS 3.xСРЕДНЯЯ 5.3
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Ссылки
CVE-2024-45689
MEDIUM6.5

A flaw was found in Moodle. Dynamic tables did not enforce capability checks, which resulted in users having the ability to retrieve information they did not have permission to access.

Опубликовано: 2024-11-20Изменено: 2025-06-02
CVSS 3.xСРЕДНЯЯ 6.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Ссылки
CVE-2024-45691
MEDIUM5.4

A flaw was found in Moodle. When restricting access to a lesson activity with a password, certain passwords could be bypassed or less secure due to a loose comparison in the password-checking logic. This issue only affected passwords set to "magic hash" values.

Опубликовано: 2024-11-20Изменено: 2025-06-02
CVSS 3.xСРЕДНЯЯ 5.4
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Ссылки
CVE-2024-48896
MEDIUM4.3

A vulnerability was found in Moodle. It is possible for users with the "send message" capability to view other users' names that they may not otherwise have access to via an error message in Messaging. Note: The name returned follows the full name format configured on the site.

Опубликовано: 2024-11-18Изменено: 2024-11-20
CVSS 3.xСРЕДНЯЯ 4.3
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Ссылки
CVE-2024-48897
MEDIUM4.3

A vulnerability was found in Moodle. Additional checks are required to ensure users can only edit or delete RSS feeds that they have permission to modify.

Опубликовано: 2024-11-18Изменено: 2024-11-20
CVSS 3.xСРЕДНЯЯ 4.3
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Ссылки
CVE-2024-48898
MEDIUM4.3

A vulnerability was found in Moodle. Users with access to delete audiences from reports could delete audiences from other reports that they do not have permission to delete from.

Опубликовано: 2024-11-18Изменено: 2024-11-20
CVSS 3.xСРЕДНЯЯ 4.3
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Ссылки
CVE-2024-48899
MEDIUM4.3

A vulnerability was found in Moodle. Additional checks are required to ensure users can only fetch the list of course badges for courses that they are intended to have access to.

Опубликовано: 2024-11-20Изменено: 2025-06-02
CVSS 3.xСРЕДНЯЯ 4.3
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Ссылки
CVE-2024-48900
MEDIUM4.3

A vulnerability was found in Moodle. Additional checks are required to ensure users with permission to view badge recipients can only access lists of those they are intended to have access to.

Опубликовано: 2024-11-13Изменено: 2025-06-13
CVSS 3.xСРЕДНЯЯ 4.3
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Ссылки
CVE-2024-48901
MEDIUM4.3

A vulnerability was found in Moodle. Additional checks are required to ensure users can only access the schedule of a report if they have permission to edit that report.

Опубликовано: 2024-11-18Изменено: 2024-11-20
CVSS 3.xСРЕДНЯЯ 4.3
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Ссылки