Множественные уязвимости в Moodle

Дата публикации:
20.03.2014
Дата изменения:
20.03.2014
Всего просмотров:
808
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
9
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:H/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:2.6/Temporal:1.9
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
CVE ID:
CVE-2014-0122
CVE-2014-0123
CVE-2014-0124
CVE-2014-0125
CVE-2014-0126
CVE-2014-0127
CVE-2014-0129
Вектор эксплуатации:
Воздействие:
Межсайтовый скриптинг
Раскрытие важных данных
Обход ограничений безопасности
Спуфинг атака
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Moodle 2.4.x
Moodle 2.5.x
Уязвимые версии: Moodle 2.4.x, 2.5.x, возможно более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, обойти ограничения безопасности, совершить спуфинг атаку и получить доступ к определенной конфиденциальной информации.

1. Уязвимость существует из-за недостаточной обработки входных данных в строках Quiz. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Приложение неправильно ограничивает доступ к Feedback. Удаленный пользователь может запустить или ограничить активность связи в Feedback.

3. Уязвимость существует из-за ошибки при контроле доступа в сценарии mod/chat/chat_ajax.php. Удаленный пользователь может ограничить действия в чате.

4. Уязвимость существует из-за ошибки в Wiki Recent Activity block. Удаленный пользователь может получить доступ к ограниченным страницам Wiki.

5. Уязвимость существует из-за недостаточной обработки входных данных в FlowPlayer. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

6. Уязвимость существует из-за ошибки в Forum и Quiz. Удаленный пользователь может получить доступ к адресу электронной почты.

7. Уязвимость существует из-за ошибки в репозитории Alias links in Alfresco. Удаленный пользователь может подменить файлы владельца.

8. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов. Удаленный пользователь может с помощью специально сформированной ссылки осуществить CSRF нападение и импортировать из IMS Enterprise.

9. Уязвимость существует из-за ошибки в значках. Удаленный пользователь может изменить статус значков видимости другим пользователям.

URL производителя: http://moodle.com/hq

Решение: Установите последнюю версию 2.4.9 или 2.5.5 с сайта производителя.

Ссылки: https://moodle.org/security/
https://moodle.org/mod/forum/discuss.php?d=256416
https://moodle.org/mod/forum/discuss.php?d=256417
https://moodle.org/mod/forum/discuss.php?d=256418
https://moodle.org/mod/forum/discuss.php?d=256419
https://moodle.org/mod/forum/discuss.php?d=256420
https://moodle.org/mod/forum/discuss.php?d=256421
https://moodle.org/mod/forum/discuss.php?d=256422
https://moodle.org/mod/forum/discuss.php?d=256423
https://moodle.org/mod/forum/discuss.php?d=256424

или введите имя

CAPTCHA