Множественные уязвимости в Moodle

Дата публикации:
31.05.2012
Дата изменения:
31.05.2012
Всего просмотров:
2395
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
13
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) = Base:6.4/Temporal:4.7
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
CVE ID:
CVE-2012-2353
CVE-2012-2354
CVE-2012-2355
CVE-2012-2356
CVE-2012-2358
CVE-2012-2359
CVE-2012-2360
CVE-2012-2361
CVE-2012-2362
CVE-2012-2363
CVE-2012-2365
CVE-2012-2366
CVE-2012-2367
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
Неавторизованное изменение данных
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Moodle 1.9.x
Moodle 2.0.x
Moodle 2.1.x
Moodle 2.2.x
Множественные уязвимости в Moodle Удаленный пользователь может обойти ограничения безопасности целевой системы. Уязвимые версии:
Moodle 1.9.18
Moodle 2.0.9,
Moodle 2.1.6
Moodle 2.2.3

Описание:
Уязвимости позволяет удаленному пользователю обойти ограничения безопасности на системе.

1. Уязвимость существует из-за ошибки при обработке прав доступа. Злоумышленник может раскрыть важные данные других пользователей.

Примечание: Для успешной эксплуатации уязвимости № 1 требуется наличие привилегий teacher.

2. Уязвимость существует из-за ошибки при чтении последних бесед. Злоумышленник может с помощью специально сформированного URL прочитать сообщение другого пользователя.

3. Уязвимость существует из-за ошибки при добавлении вопросов в головоломку, при которой пропускается проверка наличия привилегий question:use. Злоумышленник может добавить в головоломку собственный вопрос.

4. Уязвимость существует из-за ошибки при обработке прав доступа к банку вопросов. Удаленный пользователь может сохранить вопросы.

5. Уязвимость существует из-за ошибки при обработке привилегий доступа. Злоумышленник может осуществить редактирование элементов со свойством «только чтение».

6. Уязвимость существует из-за неизвестной ошибки. Злоумышленник может внести изменение в привилегии пользователей.

Примечание: Для успешной эксплуатации уязвимости № 6 требуется наличие привилегий teacher.

7. Уязвимость существует из-за недостаточной обработки входных данных при сохранении заголовков страниц wiki. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

8. Уязвимость существует из-за недостаточной обработки входных данных в параметре name в сценарии admin/webservice/service.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

9. Уязвимость существует из-за недостаточной обработки входных данных в сценарии blog/index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

10. Уязвимость существует из-за недостаточной обработки входных данных при добавлении событий в календарь. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

11. Уязвимость существует из-за недостаточной обработки входных данных в параметре idnumber в cohort/edit.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

12. Уязвимость существует из-за ошибки при обработке разрешений доступа. Злоумышленник может переписывать настройки других пользователей.

13. Уязвимость существует из-за ошибки при обработке разрешений доступа. Злоумышленник может создавать новые записи в календаре.

Примечание: Уязвимости № 9, 10 и 14 распространяются на версии 1.9-1.9.17+, уязвимости № 1-4, распространяются на версии 2.2 - 2.2.2+ и 2.1 - 2.1.5+, уязвимости № 5-8, 11 и 12 распространяются на версии 1.9.17+, уязвимости № 9, 10 и 14 распространяются на версии 2.2 - 2.2.2+, 2.1 - 2.1.5+, и 2.0 - 2.0.8+.

URL производителя: http://moodle.org/

Решение: Для устранения уязвимости установите продукт версии 1.9.18, 2.0.9, 2.1.6 или 2.2.3 с сайта производителя.

Ссылки: http://moodle.org/mod/forum/discuss.php
http://moodle.org/mod/forum/discuss.php
http://moodle.org/mod/forum/discuss.php
http://moodle.org/mod/forum/discuss.php
http://moodle.org/mod/forum/discuss.php
http://moodle.org/mod/forum/discuss.php
http://moodle.org/mod/forum/discuss.php
http://moodle.org/mod/forum/discuss.php
http://moodle.org/mod/forum/discuss.php
http://moodle.org/mod/forum/discuss.php
http://moodle.org/mod/forum/discuss.php
http://moodle.org/mod/forum/discuss.php
http://moodle.org/mod/forum/discuss.php

или введите имя

CAPTCHA