Дата публикации: | 24.01.2012 |
Всего просмотров: | 3428 |
Опасность: | Средняя |
Наличие исправления: | Да |
Количество уязвимостей: | 3 |
CVSSv2 рейтинг: | 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) 6.5 (AV:N/AC:L/Au:S/C:P/I:P/A:P/E:U/RL:O/RC:C) |
CVE ID: | Нет данных |
Вектор эксплуатации: | Удаленная |
Воздействие: |
Неавторизованное изменение данных Повышение привилегий Обход ограничений безопасности |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: |
Moodle 2.0.x
Moodle 2.1.x Moodle 2.2.x |
Уязвимые версии: Moodle 2.0.x Moodle 2.1.x Moodle 2.2.x Описание: 1. Уязвимость существует из-за недостаточной обработки неизвестных параметров при создании сообщений электронной почты. Удаленный пользователь может вставить в сообщение электронной почты произвольный заголовок. Примечание: Уязвимость распространяется на версии 2.2, 2.1-2.1.3+, и 2.0-2.0.6+. 2. Уязвимость существует из-за того, что сессия удаленного пользователя не прекращается. Удаленный пользователь обойти механизм аутентификации путем предоставления аутентификационного токена. Примечание: Уязвимость распространяется на версии 2.2, 2.1-2.1.3+ и 2.0-2.0.6+. 3. Уязвимость существует из-за ошибки функции самозачисления. Удаленный пользователь может получить привилегии manager. Примечание: Успешная эксплуатация уязвимости требует наличие привилегий teacher. Уязвимость распространяется на версии 2.2 и 2.1-2.1.3+. URL производителя: http://moodle.org/ Решение: Для устранения уязвимости установите продукт версии 2.2.1, 2.1.4, 2.0.7, или более ранней версии с сайта производителя. |
|
Ссылки: |
http://moodle.org/mod/forum/discuss.php?d=194015 http://moodle.org/mod/forum/discuss.php?d=194016 http://moodle.org/mod/forum/discuss.php?d=194017 |