Множественные уязвимости в Moodle
| Дата публикации: | 20.03.2012 |
| Всего просмотров: | 1660 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 9 |
| CVSSv2 рейтинг: | 4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) 6.4 (AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) 4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) |
| CVE ID: |
CVE-2012-1155 CVE-2012-1156 CVE-2012-1157 CVE-2012-1158 CVE-2012-1159 CVE-2012-1160 CVE-2012-1161 CVE-2012-1168 CVE-2012-1169 CVE-2012-1170 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Раскрытие важных данных Обход ограничений безопасности |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
Moodle 2.1.x
Moodle 2.2.x |
| Уязвимые версии: Moodle версии до 2.1.5 Moodle версии до 2.2.2 Описание: 1. Уязвимость существует из-за ошибки при обработке прав доступа в модуле database activity при экспорте данных. Удаленный пользователь может раскрыть содержание записей базы данных. Примечание: Для успешной эксплуатации уязвимости необходимо иметь привилегии для экспорта данных. 2. Уязвимость существует из-за ошибки в web-службе "core_user_update_users", сбрасывающей пароль при обновлении пользователя. Удаленный пользователь может пройти авторизацию от имени пользователя без пароля. 3. Уязвимость существует из-за ошибки при обработке прав доступа в сценариях repository/coursefiles/db/access.php, repository/filesystem/db/access.php, repository/local/db/access.php и repository/webdav/db/access.php. Удаленный пользователь может раскрыть содержание закрытых репозиториев. 4. Уязвимость существует из-за ошибки при обработке прав доступа в функции "load_for_user()" в сценарии lib/navigationlib.php (когда параметр "Full name format" равен "First name" в "Site Policies"). Удаленный пользователь может раскрыть фамилии пользователей на странице навигационной цепочки. 5. Уязвимость существует из-за ошибки при обработке прав доступа в функции "definition()" в сценарии grade/export/grade_export_form.php при экспорте классов. Удаленный пользователь может раскрыть скрытые классы. Примечание: Для успешной эксплуатации уязвимости необходимо иметь привилегии экспорта классов. 6. Уязвимость существует из-за ошибки при обработке прав доступа в функции "fill_table()" в сценарии grade/report/overview/lib.php. Удаленный пользователь может раскрыть скрытые курсы в обзорном докладе. 7. Уязвимость существует из-за ошибки при обработке прав доступа в сценарии mod/forum/index.php. Удаленный пользователь может подписаться на закрытые форумы. Примечание: Для успешной эксплуатации уязвимости необходимо иметь учетную запись менеджера. 8. Уязвимость существует из-за ошибки при обработке прав доступа в функции "coursetag_get_tagged_courses()" в сценарии tag/coursetagslib.php при отображении тегов поиска. Удаленный пользователь может раскрыть содержимое скрытых курсов. 9. Уязвимость существует из-за ошибки при обработке прав доступа в функции "get_enrolled_users()" в сценарии enrol/externallib.php. Удаленный пользователь может раскрыть пользователей обучающихся на курсах. URL производителя: http://moodle.org/ Решение: Установите последнюю версию 2.1.5 или 2.2.2 с сайта производителя. |
|
| Ссылки: |
http://docs.moodle.org/dev/Moodle_2.1.5_release_notes http://docs.moodle.org/dev/Moodle_2.2.2_release_notes http://moodle.org/mod/forum/discuss.php?d=198621 http://moodle.org/mod/forum/discuss.php?d=198622 http://moodle.org/mod/forum/discuss.php?d=198624 http://moodle.org/mod/forum/discuss.php?d=198625 http://moodle.org/mod/forum/discuss.php?d=198627 http://moodle.org/mod/forum/discuss.php?d=198628 http://moodle.org/mod/forum/discuss.php?d=198629 http://moodle.org/mod/forum/discuss.php?d=198630 http://moodle.org/mod/forum/discuss.php?d=198632 |