Множественные уязвимости в Moodle

Дата публикации:
24.01.2012
Дата изменения:
24.01.2012
Всего просмотров:
2752
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
3
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:7.5/Temporal:5.5
(AV:N/AC:L/Au:S/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:6.5/Temporal:4.8
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Неавторизованное изменение данных
Повышение привилегий
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Moodle 2.0.x
Moodle 2.1.x
Moodle 2.2.x
Уязвимые версии:
Moodle 2.0.x
Moodle 2.1.x
Moodle 2.2.x

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю выполнить неавторизованное изменение данных.

1. Уязвимость существует из-за недостаточной обработки неизвестных параметров при создании сообщений электронной почты. Удаленный пользователь может вставить в сообщение электронной почты произвольный заголовок.

Примечание: Уязвимость распространяется на версии 2.2, 2.1-2.1.3+, и 2.0-2.0.6+.

2. Уязвимость существует из-за того, что сессия удаленного пользователя не прекращается. Удаленный пользователь обойти механизм аутентификации путем предоставления аутентификационного токена.

Примечание: Уязвимость распространяется на версии 2.2, 2.1-2.1.3+ и 2.0-2.0.6+.

3. Уязвимость существует из-за ошибки функции самозачисления. Удаленный пользователь может получить привилегии manager.

Примечание: Успешная эксплуатация уязвимости требует наличие привилегий teacher. Уязвимость распространяется на версии 2.2 и 2.1-2.1.3+.

URL производителя: http://moodle.org/

Решение: Для устранения уязвимости установите продукт версии 2.2.1, 2.1.4, 2.0.7, или более ранней версии с сайта производителя.

Ссылки: http://moodle.org/mod/forum/discuss.php?d=194015
http://moodle.org/mod/forum/discuss.php?d=194016
http://moodle.org/mod/forum/discuss.php?d=194017

или введите имя

CAPTCHA