Обход ограничений безопасности в Moodle

Дата публикации:
10.07.2008
Дата изменения:
29.12.2008
Всего просмотров:
3329
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Обход ограничений безопасности
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Moodle 1.8.x
Moodle 1.7.x
Moodle 1.6.x
Уязвимые версии: Moodle версии до 1.8.5

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности и скомпрометировать целевую систему.

1. Уязвимость существует из-за недостаточной фильтрации данных в сценариях /lib/kses.php и lib/weblib.php. Удаленный пользователь может обойти политики HTML фильтрации.

2. Уязвимость существует из-за недостаточной проверки входных данных при вызове функции "preg_replace()" с ключом "e" в сценарии kses.php. Удаленный пользователь может выполнить произвольный PHP код на целевой системе.

URL производителя: moodle.org

Решение: Установите последнюю версию 1.8.5 или 1.9 с сайта производителя.

Журнал изменений:

29.12.2008
Изменено описание уязвимостей.

Ссылки: Moodle <= 1.8.4 Remote Code Execution Exploit
http://moodle.org/mod/forum/discuss.php?d=95031

или введите имя

CAPTCHA