Межсайтовое выполнение сценариев в Moodle

Дата публикации:
30.12.2004
Всего просмотров:
954
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Moodle 1.4.2. и более ранние версии

Описание:
Обнаружено несколько уязвимостей в Moodle. Удаленный атакующий может получить доступ к файлам ID сессий и произвести XSS атаку.

Уязвимость существует в сценарии '/mod/forum/view.php' из-за некорректной фильтрации данных в переменной $search. Удаленный атакующий может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере целевого пользователя. Пример:

http://[target]/moodle/mod/forum/view.php?id=1&search=moodle%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E Удаленный атакующий может получить доступ к данным сессии с помощью сценария 'file.php'. Пример:

http://[target]/moodle/file.php?file=/1/../sessions/sess_6ac3b47ee23c6aa55896f4cd68a f9622

URL производителя: www.moodle.org

Решение: Решение не существует на данный момент.

Ссылки: Multiple Vulnerabilities in Moodle

или введите имя

CAPTCHA