ALT-PU-2025-6924-3

BDU:2025-02321

MEDIUM4.3

Уязвимость виртуальной обучающей среды Moodle, связанная с недостатками контроля доступа, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2025-03-05Изменено: 2025-09-30

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

CVSS 2.0СРЕДНЯЯ 4.0

CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:P/A:N

Ссылки

CVE-2025-26531

BDU:2025-02322

MEDIUM4.7

Уязвимость виртуальной обучающей среды Moodle, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю получить провести атаку межсайтового скриптинга (XSS)

Опубликовано: 2025-03-05Изменено: 2025-03-19

CVSS 3.xСРЕДНЯЯ 4.7

CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:N

CVSS 2.0СРЕДНЯЯ 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N

Ссылки

CVE-2025-26528

BDU:2025-02323

HIGH7.5

Уязвимость виртуальной обучающей среды Moodle, связанная с недостаточной защитой служебных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2025-03-05Изменено: 2025-03-19

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:N/A:N

Ссылки

CVE-2025-26525

BDU:2025-02324

MEDIUM6.5

Уязвимость виртуальной обучающей среды Moodle, связанная с недостатками контроля доступа, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2025-03-05Изменено: 2025-03-19

CVSS 3.xСРЕДНЯЯ 6.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L

CVSS 2.0СРЕДНЯЯ 6.4

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:P

Ссылки

CVE-2025-26526

BDU:2025-02325

CRITICAL9.8

Уязвимость виртуальной обучающей среды Moodle, связанная с непринятием мер по защите структуры запроса SQL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2025-03-05Изменено: 2025-09-30

CVSS 3.xКРИТИЧЕСКАЯ 9.8

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS 2.0КРИТИЧЕСКАЯ 10.0

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:C

Ссылки

CVE-2025-26533

BDU:2025-02326

MEDIUM4.3

Уязвимость виртуальной обучающей среды Moodle, связанная с недостаточной защитой служебных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2025-03-05Изменено: 2025-03-19

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CVSS 2.0СРЕДНЯЯ 4.0

CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:N/A:N

Ссылки

CVE-2025-26527

BDU:2025-02327

MEDIUM4.7

Уязвимость виртуальной обучающей среды Moodle, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю получить провести атаку межсайтового скриптинга (XSS)

Опубликовано: 2025-03-05Изменено: 2025-03-19

CVSS 3.xСРЕДНЯЯ 4.7

CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:N

CVSS 2.0СРЕДНЯЯ 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N

Ссылки

CVE-2025-26530

BDU:2025-02328

MEDIUM4.3

Уязвимость виртуальной обучающей среды Moodle, связанная с недостатками контроля доступа, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2025-03-05Изменено: 2025-09-30

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

CVSS 2.0СРЕДНЯЯ 4.0

CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:P/A:N

Ссылки

CVE-2025-26532

BDU:2025-02329

MEDIUM4.7

Уязвимость виртуальной обучающей среды Moodle, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю получить провести атаку межсайтового скриптинга (XSS)

Опубликовано: 2025-03-05Изменено: 2025-04-11

CVSS 3.xСРЕДНЯЯ 4.7

CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:N

CVSS 2.0СРЕДНЯЯ 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N

Ссылки

CVE-2025-26529

BDU:2025-04328

CRITICAL10.0

Уязвимость функции s.contexts._.configure библиотеки для загрузки модулей JavaScript RequireJS, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании

Опубликовано: 2025-04-14

CVSS 3.xКРИТИЧЕСКАЯ 10.0

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CVSS 2.0КРИТИЧЕСКАЯ 10.0

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:C

Ссылки

CVE-2024-38999

BDU:2025-05097

MEDIUM4.3

Уязвимость виртуальной обучающей среды Moodle, связанная с недостатками механизма авторизации, позволяющая нарушителю получить несанкционированный доступ к данным пользователя

Опубликовано: 2025-04-30Изменено: 2025-05-21

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CVSS 2.0СРЕДНЯЯ 4.0

CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:N/A:N

Ссылки

CVE-2025-3647

BDU:2025-05098

MEDIUM4.3

Уязвимость веб-сервиса виртуальной обучающей среды Moodle, позволяющая нарушителю получить несанкционированный доступ к данным пользователя

Опубликовано: 2025-04-30

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CVSS 2.0СРЕДНЯЯ 4.0

CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:N/A:N

Ссылки

CVE-2025-3645

BDU:2025-05099

MEDIUM4.3

Уязвимость функции course_can_delete_section() виртуальной обучающей среды Moodle, позволяющая нарушителю повысить свои привилегии

Опубликовано: 2025-04-30

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

CVSS 2.0СРЕДНЯЯ 4.0

CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:P/A:N

Ссылки

CVE-2025-3644

BDU:2025-05100

MEDIUM5.4

Уязвимость виртуальной обучающей среды Moodle, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS)

Опубликовано: 2025-04-30Изменено: 2025-05-21

CVSS 3.xСРЕДНЯЯ 5.4

CVSS:3.x/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVSS 2.0СРЕДНЯЯ 5.5

CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:P/A:N

Ссылки

CVE-2025-3643

BDU:2025-05101

HIGH8.8

Уязвимость репозитория EQUELLA виртуальной обучающей среды Moodle, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2025-04-30Изменено: 2025-05-21

CVSS 3.xВЫСОКАЯ 8.8

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CVSS 2.0КРИТИЧЕСКАЯ 9.0

CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:C

Ссылки

CVE-2025-3642

BDU:2025-05102

MEDIUM4.3

Уязвимость репозитория Dropbox виртуальной обучающей среды Moodle, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2025-04-30Изменено: 2025-05-21

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CVSS 2.0СРЕДНЯЯ 4.0

CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:N/A:N

Ссылки

CVE-2025-3641

BDU:2025-05103

MEDIUM4.3

Уязвимость виртуальной обучающей среды Moodle, связанная с обходом авторизации посредством ключа, контролируемого пользователем, позволяющая нарушителю повысить свои привилегии и получить несанкционированный доступ к защищаемой информации

Опубликовано: 2025-04-30Изменено: 2025-05-21

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CVSS 2.0СРЕДНЯЯ 4.0

CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:N/A:N

Ссылки

CVE-2025-3640

BDU:2025-05104

LOW3.5

Уязвимость компонента Brickfield виртуальной обучающей среды Moodle, позволяющая нарушителю оказать влияние на целостность защищаемой информации

Опубликовано: 2025-04-30Изменено: 2025-05-21

CVSS 3.xНИЗКАЯ 3.5

CVSS:3.x/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

CVSS 2.0СРЕДНЯЯ 4.0

CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:P/A:N

Ссылки

CVE-2025-3638

BDU:2025-05105

LOW3.1

Уязвимость модуля mod_data виртуальной обучающей среды Moodle, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2025-04-30Изменено: 2025-05-21

CVSS 3.xНИЗКАЯ 3.1

CVSS:3.x/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N

CVSS 2.0НИЗКАЯ 2.1

CVSS:2.0/AV:N/AC:H/Au:S/C:P/I:N/A:N

Ссылки

CVE-2025-3637

BDU:2025-05106

MEDIUM4.3

Уязвимость компонента RSS Block виртуальной обучающей среды Moodle, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2025-04-30Изменено: 2025-05-21

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CVSS 2.0СРЕДНЯЯ 4.0

CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:N/A:N

Ссылки

CVE-2025-3636

BDU:2025-05107

LOW3.5

Уязвимость виртуальной обучающей среды Moodle, связанная с подделкой межсайтовых запросов, позволяющая нарушителю оказать влияние на целостность защищаемой информации

Опубликовано: 2025-04-30Изменено: 2025-05-29

CVSS 3.xНИЗКАЯ 3.5

CVSS:3.x/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

CVSS 2.0СРЕДНЯЯ 4.0

CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:P/A:N

Ссылки

CVE-2025-3635

BDU:2025-05108

MEDIUM4.3

Уязвимость компонента Multi-Factor Authentication виртуальной обучающей среды Moodle, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или выполнить произвольный код

Опубликовано: 2025-04-30Изменено: 2025-05-29

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

CVSS 2.0СРЕДНЯЯ 4.0

CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:P/A:N

Ссылки

CVE-2025-3634

BDU:2025-05109

MEDIUM4.3

Уязвимость виртуальной обучающей среды Moodle, связанная с недостаточной защитой служебных данных, позволяющая нарушителю раскрыть защищаемую информацию

Опубликовано: 2025-04-30Изменено: 2025-06-18

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CVSS 2.0СРЕДНЯЯ 4.0

CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:N/A:N

Ссылки

CVE-2025-3628

BDU:2025-05110

MEDIUM4.3

Уязвимость компонента Multi-Factor Authentication виртуальной обучающей среды Moodle, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2025-04-30Изменено: 2025-05-29

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CVSS 2.0СРЕДНЯЯ 4.0

CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:N/A:N

Ссылки

CVE-2025-3627

BDU:2025-05111

HIGH7.1

Уязвимость компонента Multi-Factor Authentication виртуальной обучающей среды Moodle, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2025-04-30Изменено: 2025-09-04

CVSS 3.xВЫСОКАЯ 7.1

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:H

CVSS 2.0ВЫСОКАЯ 7.5

CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:N/A:C

Ссылки

CVE-2025-3625

BDU:2025-06112

MEDIUM5.3

Уязвимость компонента Grade Report Handler виртуальной обучающей среды Moodle, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2025-05-29

CVSS 3.xСРЕДНЯЯ 5.3

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CVSS 2.0СРЕДНЯЯ 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N

Ссылки

CVE-2025-32045

BDU:2025-06871

HIGH7.5

Уязвимость виртуальной обучающей среды Moodle, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2025-06-18

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:N/A:N

Ссылки

CVE-2025-32044

CVE-2024-38999

CRITICAL10.0

jrburke requirejs v2.3.6 was discovered to contain a prototype pollution via the function s.contexts._.configure. This vulnerability allows attackers to execute arbitrary code or cause a Denial of Service (DoS) via injecting arbitrary properties.

Опубликовано: 2024-07-01Изменено: 2026-04-15

CVSS 3.xКРИТИЧЕСКАЯ 10.0

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Ссылки

CVE-2024-40446

CRITICAL9.8

An issue in forkosh Mime Tex before v.1.77 allows an attacker to execute arbitrary code via a crafted script

Опубликовано: 2025-04-22Изменено: 2025-06-23

CVSS 3.xКРИТИЧЕСКАЯ 9.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Ссылки

CVE-2025-26525

HIGH8.6

Insufficient sanitizing in the TeX notation filter resulted in an arbitrary file read risk on sites where pdfTeX is available (such as those with TeX Live installed).

Опубликовано: 2025-02-24Изменено: 2025-08-08

CVSS 3.xВЫСОКАЯ 8.6

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

Ссылки

CVE-2025-26526

MEDIUM6.5

Separate Groups mode restrictions were not factored into permission checks before allowing viewing or deletion of responses in Feedback activities.

Опубликовано: 2025-02-24Изменено: 2025-08-08

CVSS 3.xСРЕДНЯЯ 6.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Ссылки

CVE-2025-26527

MEDIUM5.3

Tags not expected to be visible to a user could still be discovered by them via the tag search page or in the tags block.

Опубликовано: 2025-02-24Изменено: 2025-08-08

CVSS 3.xСРЕДНЯЯ 5.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Ссылки

CVE-2025-26528

MEDIUM6.1

The drag-and-drop onto image (ddimageortext) question type required additional sanitizing to prevent a stored XSS risk.

Опубликовано: 2025-02-24Изменено: 2025-08-08

CVSS 3.xСРЕДНЯЯ 6.1

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Ссылки

CVE-2025-26529

MEDIUM6.1

Description information displayed in the site administration live log required additional sanitizing to prevent a stored XSS risk.

Опубликовано: 2025-02-24Изменено: 2025-08-08

CVSS 3.xСРЕДНЯЯ 6.1

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Ссылки

CVE-2025-26530

MEDIUM6.1

The question bank filter required additional sanitizing to prevent a reflected XSS risk.

Опубликовано: 2025-02-24Изменено: 2025-08-11

CVSS 3.xСРЕДНЯЯ 6.1

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Ссылки

CVE-2025-26531

MEDIUM5.3

Insufficient capability checks made it possible to disable badges a user does not have permission to access.

Опубликовано: 2025-02-24Изменено: 2025-08-07

CVSS 3.xСРЕДНЯЯ 5.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Ссылки

CVE-2025-26532

MEDIUM4.3

Additional checks were required to ensure trusttext is applied (when enabled) to glossary entries being restored.

Опубликовано: 2025-02-24Изменено: 2025-08-06

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Ссылки

CVE-2025-26533

CRITICAL9.8

An SQL injection risk was identified in the module list filter within course search.

Опубликовано: 2025-02-24Изменено: 2025-08-06

CVSS 3.xКРИТИЧЕСКАЯ 9.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Ссылки

CVE-2025-32044

HIGH7.5

A flaw has been identified in Moodle where, on certain sites, unauthenticated users could retrieve sensitive user data—including names, contact information, and hashed passwords—via stack traces returned by specific API calls. Sites with PHP configured with zend.exception_ignore_args = 1 in the php.ini file are not affected by this vulnerability.

Опубликовано: 2025-04-25Изменено: 2025-06-24

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Ссылки

CVE-2025-32045

MEDIUM5.3

A flaw has been identified in Moodle where insufficient capability checks in certain grade reports allowed users without the necessary permissions to access hidden grades.

Опубликовано: 2025-04-25Изменено: 2025-06-24

CVSS 3.xСРЕДНЯЯ 5.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Ссылки

CVE-2025-3625

HIGH7.1

A security vulnerability was discovered in Moodle that can allow hackers to gain access to sensitive information about students and prevent them from logging into their accounts, even after they had completed two-factor authentication (2FA).

Опубликовано: 2025-04-25Изменено: 2025-06-24

CVSS 3.xВЫСОКАЯ 7.1

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:H

Ссылки

CVE-2025-3627

MEDIUM4.3

A security vulnerability was discovered in Moodle that allows some users to access sensitive information about other students before they finish verifying their identities using two-factor authentication (2FA).

Опубликовано: 2025-04-25Изменено: 2025-06-24

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Ссылки

CVE-2025-3628

MEDIUM4.3

A flaw has was found in Moodle where anonymous assignment submissions can be de-anonymized via search, revealing student identities.

Опубликовано: 2025-04-25Изменено: 2025-06-24

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Ссылки

CVE-2025-3634

MEDIUM4.3

A security vulnerability was discovered in Moodle that allows students to enroll themselves in courses without completing all the necessary safety checks. Specifically, users can sign up for courses prematurely, even if they haven't finished two-step verification processes.

Опубликовано: 2025-04-25Изменено: 2025-06-24

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Ссылки

CVE-2025-3635

LOW3.5

A security vulnerability was discovered in Moodle that allows anyone to duplicate existing tours without needing to log in due to a lack of protection against cross-site request forgery (CSRF) attacks.

Опубликовано: 2025-04-25Изменено: 2025-06-24

CVSS 3.xНИЗКАЯ 3.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

Ссылки

CVE-2025-3636

MEDIUM4.3

A flaw was found in Moodle. This vulnerability allows unauthorized users to access and view RSS feeds due to insufficient capability checks.

Опубликовано: 2025-04-25Изменено: 2025-06-24

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Ссылки

CVE-2025-3637

LOW3.1

A security vulnerability was found in Moodle where confidential information that prevents cross-site request forgery (CSRF) attacks was shared publicly through the site's URL. This vulnerability occurred specifically on two types of pages within the mod_data module: edit and delete pages.

Опубликовано: 2025-04-25Изменено: 2025-06-24

CVSS 3.xНИЗКАЯ 3.1

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N

Ссылки

CVE-2025-3638

HIGH8.8

A flaw was found in Moodle. The analysis request action in the Brickfield tool did not include the necessary token to prevent a Cross-site request forgery (CSRF) risk.

Опубликовано: 2025-04-25Изменено: 2025-06-16

CVSS 3.xВЫСОКАЯ 8.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Ссылки

CVE-2025-3640

MEDIUM4.3

A flaw was found in Moodle. Insufficient capability checks made it possible for a user enrolled in a course to access some details, such as the full name and profile image URL, of other users they did not have permission to access.

Опубликовано: 2025-04-25Изменено: 2025-06-24

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Ссылки

CVE-2025-3641

HIGH8.8

A flaw was found in Moodle. A remote code execution risk was identified in the Moodle LMS Dropbox repository. By default, this was only available to teachers and managers on sites with the Dropbox repository enabled.

Опубликовано: 2025-04-25Изменено: 2025-06-24

CVSS 3.xВЫСОКАЯ 8.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Ссылки

CVE-2025-3642

HIGH8.8

A flaw was found in Moodle. A remote code execution risk was identified in the Moodle LMS EQUELLA repository. By default, this was only available to teachers and managers on sites with the EQUELLA repository enabled.

Опубликовано: 2025-04-25Изменено: 2025-06-24

CVSS 3.xВЫСОКАЯ 8.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Ссылки

CVE-2025-3643

MEDIUM5.4

A flaw was found in Moodle. The return URL in the policy tool required additional sanitizing to prevent a reflected Cross-site scripting (XSS) risk.

Опубликовано: 2025-04-25Изменено: 2025-06-24

CVSS 3.xСРЕДНЯЯ 5.4

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Ссылки

CVE-2025-3644

MEDIUM4.3

A flaw was found in Moodle. Additional checks were required to prevent users from deleting course sections they did not have permission to modify.

Опубликовано: 2025-04-25Изменено: 2025-06-24

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Ссылки

CVE-2025-3645

MEDIUM4.3

A flaw was found in Moodle. Insufficient capability checks in a messaging web service allowed users to view other users' names and online statuses.

Опубликовано: 2025-04-25Изменено: 2025-06-24

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Ссылки

CVE-2025-3647

MEDIUM4.3

A flaw was discovered in Moodle. Additional checks were required to ensure that users can only access cohort data they are authorized to retrieve.

Опубликовано: 2025-04-25Изменено: 2025-06-24

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Ссылки

GHSA-345q-9jmq-g9q4

HIGH7.5

Moodle allows unauthenticated REST API user data exposure

Опубликовано: 2025-04-25Изменено: 2025-04-25

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Ссылки

GHSA-34g7-pg9j-pxgp

MEDIUM4.3

Moodle allows IDOR when accessing the cohorts report

Опубликовано: 2025-04-25Изменено: 2025-04-25

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Ссылки

GHSA-4hmr-39vp-xfrr

HIGH8.6

Moodle has an arbitrary file read risk through pdfTeX

Опубликовано: 2025-02-25Изменено: 2025-02-25

CVSS 3.xВЫСОКАЯ 8.6

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

Ссылки

GHSA-4w32-c9g7-27qx

HIGH8.3

Moodle allows reflected XSS via question bank filter

Опубликовано: 2025-02-25Изменено: 2025-02-25

CVSS 3.xВЫСОКАЯ 8.3

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

Ссылки

GHSA-5r85-6h7f-rg3r

MEDIUM5.3

Moodle's non-searchable tags can still be discovered on the tag search page and in the tags block

Опубликовано: 2025-02-25Изменено: 2025-02-25

CVSS 3.xСРЕДНЯЯ 5.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Ссылки

GHSA-69m9-rprc-2x7g

MEDIUM4.3

Moodle reveals student identities through assignment submissions search on anonymous submissions

Опубликовано: 2025-04-25Изменено: 2025-04-25

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Ссылки

GHSA-6g5x-h5x7-q4mq

MEDIUM4.3

Moodle has an IDOR in web service which allows users enrolled in a course to access some details of other users

Опубликовано: 2025-04-25Изменено: 2025-04-25

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Ссылки

GHSA-88xj-97gf-7wpq

LOW3.5

Moodle has a CSRF risk in user tours manager that allows tour duplication

Опубликовано: 2025-04-25Изменено: 2025-04-25

CVSS 3.xНИЗКАЯ 3.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

Ссылки

GHSA-8m7c-hm88-2p97

MEDIUM5.3

Moodle shows hidden grades to users without permission on some grade reports

Опубликовано: 2025-04-25Изменено: 2025-04-25

CVSS 3.xСРЕДНЯЯ 5.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Ссылки

GHSA-9vc3-vm42-fjhm

LOW3.1

Moodle's mod_data edit/delete pages pass CSRF token in GET parameter

Опубликовано: 2025-04-25Изменено: 2025-04-25

CVSS 3.xНИЗКАЯ 3.1

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N

Ссылки

GHSA-c8v6-vxhf-wcrr

HIGH8.8

Moodle has an authenticated remote code execution risk in the Moodle LMS Dropbox repository

Опубликовано: 2025-04-25Изменено: 2025-04-25

CVSS 3.xВЫСОКАЯ 8.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Ссылки

GHSA-chmf-m33p-ph8m

MEDIUM4.3

Moodle allows IDOR in RSS block, which allows access to additional RSS feeds

Опубликовано: 2025-04-25Изменено: 2025-04-25

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Ссылки

GHSA-cpm7-mv33-jwf8

MEDIUM4.3

Moodle's AJAX section delete does not respect course_can_delete_section()

Опубликовано: 2025-04-25Изменено: 2025-04-25

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Ссылки

GHSA-cw24-f6fq-7j9v

LOW3.1

Moodle allows teachers to evade trusttext config when restoring glossary entries

Опубликовано: 2025-02-25Изменено: 2025-02-25

CVSS 3.xНИЗКАЯ 3.1

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N

Ссылки

GHSA-g88w-v4cq-qgcp

LOW3.1

Moodle has an IDOR in badges allows disabling of arbitrary badges

Опубликовано: 2025-02-25Изменено: 2025-02-25

CVSS 3.xНИЗКАЯ 3.1

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N

Ссылки

GHSA-h697-w4ph-7pcx

LOW3.4

Moodle has a stored XSS in ddimageortext question type

Опубликовано: 2025-02-25Изменено: 2025-02-25

CVSS 3.xНИЗКАЯ 3.4

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:N

Ссылки

GHSA-hxgg-4qww-85ph

MEDIUM5.4

Moodle has reflected Cross-site Scripting risk in policy tool

Опубликовано: 2025-04-25Изменено: 2025-05-08

CVSS 3.xСРЕДНЯЯ 5.4

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Ссылки

GHSA-m367-445c-2xqr

HIGH8.8

Moodle has an authenticated remote code execution risk in the Moodle LMS EQUELLA repository

Опубликовано: 2025-04-25Изменено: 2025-04-25

CVSS 3.xВЫСОКАЯ 8.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Ссылки

GHSA-m8qh-hx4c-h9hr

LOW1.3

Moodle has a CSRF risk in Brickfield tool's analysis request action

Опубликовано: 2025-04-25Изменено: 2025-04-25

CVSS 4.0НИЗКАЯ 1.3

CVSS:4.0/CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N/E:U

Ссылки

GHSA-pj96-xh2w-fgqx

MEDIUM4.3

Moodle has an IDOR in messaging web service which allows access to some user details

Опубликовано: 2025-04-25Изменено: 2025-05-08

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Ссылки

GHSA-pxg4-xjp7-w9c5

MEDIUM6.5

Moodle's feedback response viewing and deletions did not respect Separate Groups mode

Опубликовано: 2025-02-25Изменено: 2025-02-25

CVSS 3.xСРЕДНЯЯ 6.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Ссылки

GHSA-qhc7-xhc2-7p7w

MEDIUM4.3

Moodle self enrollment available before completing second factor with MFA enabled

Опубликовано: 2025-04-25Изменено: 2025-04-25

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Ссылки

GHSA-rg56-94j7-hjx9

HIGH8.1

Moodle has a SQL injection risk in course search module list filter

Опубликовано: 2025-02-25Изменено: 2025-05-08

CVSS 3.xВЫСОКАЯ 8.1

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Ссылки

GHSA-wr88-x8cm-7cgq

HIGH8.3

Moodle has a stored XSS risk in admin live log

Опубликовано: 2025-02-25Изменено: 2025-02-25

CVSS 3.xВЫСОКАЯ 8.3

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

Ссылки

GHSA-x3m3-4wpv-5vgc

HIGH8.9

jrburke requirejs vulnerable to prototype pollution

Опубликовано: 2024-07-01Изменено: 2024-07-25

CVSS 3.xВЫСОКАЯ 8.9

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CVSS 4.0ВЫСОКАЯ 8.9

CVSS:4.0/CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P

Ссылки

GHSA-x45j-jq9q-gf3q

MEDIUM4.3

Moodle makes some user data available before completing second factor with MFA enabled

Опубликовано: 2025-04-25Изменено: 2025-04-25

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Ссылки

Обновление пакета moodle в ветке p11

Закрытые проблемы (81)

Уязвимость функции s.contexts._.configure библиотеки для загрузки модулей JavaScript RequireJS, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании

Уязвимость веб-сервиса виртуальной обучающей среды Moodle, позволяющая нарушителю получить несанкционированный доступ к данным пользователя

Уязвимость функции course_can_delete_section() виртуальной обучающей среды Moodle, позволяющая нарушителю повысить свои привилегии

Уязвимость репозитория EQUELLA виртуальной обучающей среды Moodle, позволяющая нарушителю выполнить произвольный код

Уязвимость репозитория Dropbox виртуальной обучающей среды Moodle, позволяющая нарушителю выполнить произвольный код

Уязвимость компонента Brickfield виртуальной обучающей среды Moodle, позволяющая нарушителю оказать влияние на целостность защищаемой информации

Уязвимость модуля mod_data виртуальной обучающей среды Moodle, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Уязвимость компонента RSS Block виртуальной обучающей среды Moodle, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Уязвимость виртуальной обучающей среды Moodle, связанная с недостаточной защитой служебных данных, позволяющая нарушителю раскрыть защищаемую информацию

Уязвимость компонента Multi-Factor Authentication виртуальной обучающей среды Moodle, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Уязвимость компонента Multi-Factor Authentication виртуальной обучающей среды Moodle, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость компонента Grade Report Handler виртуальной обучающей среды Moodle, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Уязвимость виртуальной обучающей среды Moodle, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

jrburke requirejs v2.3.6 was discovered to contain a prototype pollution via the function s.contexts._.configure. This vulnerability allows attackers to execute arbitrary code or cause a Denial of Service (DoS) via injecting arbitrary properties.

An issue in forkosh Mime Tex before v.1.77 allows an attacker to execute arbitrary code via a crafted script

Insufficient sanitizing in the TeX notation filter resulted in an arbitrary file read risk on sites where pdfTeX is available (such as those with TeX Live installed).

Separate Groups mode restrictions were not factored into permission checks before allowing viewing or deletion of responses in Feedback activities.

Tags not expected to be visible to a user could still be discovered by them via the tag search page or in the tags block.

The drag-and-drop onto image (ddimageortext) question type required additional sanitizing to prevent a stored XSS risk.

Description information displayed in the site administration live log required additional sanitizing to prevent a stored XSS risk.

The question bank filter required additional sanitizing to prevent a reflected XSS risk.

Insufficient capability checks made it possible to disable badges a user does not have permission to access.

Additional checks were required to ensure trusttext is applied (when enabled) to glossary entries being restored.

An SQL injection risk was identified in the module list filter within course search.

A flaw has been identified in Moodle where insufficient capability checks in certain grade reports allowed users without the necessary permissions to access hidden grades.

A security vulnerability was discovered in Moodle that can allow hackers to gain access to sensitive information about students and prevent them from logging into their accounts, even after they had completed two-factor authentication (2FA).

A security vulnerability was discovered in Moodle that allows some users to access sensitive information about other students before they finish verifying their identities using two-factor authentication (2FA).

A flaw has was found in Moodle where anonymous assignment submissions can be de-anonymized via search, revealing student identities.

A security vulnerability was discovered in Moodle that allows students to enroll themselves in courses without completing all the necessary safety checks. Specifically, users can sign up for courses prematurely, even if they haven't finished two-step verification processes.

A security vulnerability was discovered in Moodle that allows anyone to duplicate existing tours without needing to log in due to a lack of protection against cross-site request forgery (CSRF) attacks.

A flaw was found in Moodle. This vulnerability allows unauthorized users to access and view RSS feeds due to insufficient capability checks.

A security vulnerability was found in Moodle where confidential information that prevents cross-site request forgery (CSRF) attacks was shared publicly through the site's URL. This vulnerability occurred specifically on two types of pages within the mod_data module: edit and delete pages.

A flaw was found in Moodle. The analysis request action in the Brickfield tool did not include the necessary token to prevent a Cross-site request forgery (CSRF) risk.

A flaw was found in Moodle. Insufficient capability checks made it possible for a user enrolled in a course to access some details, such as the full name and profile image URL, of other users they did not have permission to access.

A flaw was found in Moodle. A remote code execution risk was identified in the Moodle LMS Dropbox repository. By default, this was only available to teachers and managers on sites with the Dropbox repository enabled.

A flaw was found in Moodle. A remote code execution risk was identified in the Moodle LMS EQUELLA repository. By default, this was only available to teachers and managers on sites with the EQUELLA repository enabled.

A flaw was found in Moodle. The return URL in the policy tool required additional sanitizing to prevent a reflected Cross-site scripting (XSS) risk.

A flaw was found in Moodle. Additional checks were required to prevent users from deleting course sections they did not have permission to modify.

A flaw was found in Moodle. Insufficient capability checks in a messaging web service allowed users to view other users' names and online statuses.

A flaw was discovered in Moodle. Additional checks were required to ensure that users can only access cohort data they are authorized to retrieve.

Moodle allows unauthenticated REST API user data exposure

Moodle allows IDOR when accessing the cohorts report

Moodle has an arbitrary file read risk through pdfTeX

Moodle allows reflected XSS via question bank filter

Moodle's non-searchable tags can still be discovered on the tag search page and in the tags block

Moodle reveals student identities through assignment submissions search on anonymous submissions

Moodle has an IDOR in web service which allows users enrolled in a course to access some details of other users

Moodle has a CSRF risk in user tours manager that allows tour duplication

Moodle shows hidden grades to users without permission on some grade reports

Moodle's mod_data edit/delete pages pass CSRF token in GET parameter

Moodle has an authenticated remote code execution risk in the Moodle LMS Dropbox repository

Moodle allows IDOR in RSS block, which allows access to additional RSS feeds

Moodle's AJAX section delete does not respect course_can_delete_section()

Moodle allows teachers to evade trusttext config when restoring glossary entries

Moodle has an IDOR in badges allows disabling of arbitrary badges

Moodle has a stored XSS in ddimageortext question type

Moodle has reflected Cross-site Scripting risk in policy tool

Moodle has an authenticated remote code execution risk in the Moodle LMS EQUELLA repository

Moodle has a CSRF risk in Brickfield tool's analysis request action

Moodle has an IDOR in messaging web service which allows access to some user details

Moodle's feedback response viewing and deletions did not respect Separate Groups mode

Moodle self enrollment available before completing second factor with MFA enabled

Moodle has a SQL injection risk in course search module list filter

Moodle has a stored XSS risk in admin live log

jrburke requirejs vulnerable to prototype pollution

Moodle makes some user data available before completing second factor with MFA enabled