Множественные уязвимости в Moodle
| Дата публикации: | 31.05.2012 |
| Всего просмотров: | 3772 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 13 |
| CVSSv2 рейтинг: | 4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 6.4 (AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) |
| CVE ID: |
CVE-2012-2353 CVE-2012-2354 CVE-2012-2355 CVE-2012-2356 CVE-2012-2358 CVE-2012-2359 CVE-2012-2360 CVE-2012-2361 CVE-2012-2362 CVE-2012-2363 CVE-2012-2365 CVE-2012-2366 CVE-2012-2367 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Раскрытие важных данных Неавторизованное изменение данных Обход ограничений безопасности |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
Moodle 1.9.x
Moodle 2.0.x Moodle 2.1.x Moodle 2.2.x |
| Множественные уязвимости в Moodle
Удаленный пользователь может обойти ограничения безопасности целевой системы.
Уязвимые версии: Moodle 1.9.18 Moodle 2.0.9, Moodle 2.1.6 Moodle 2.2.3 Описание: 1. Уязвимость существует из-за ошибки при обработке прав доступа. Злоумышленник может раскрыть важные данные других пользователей. Примечание: Для успешной эксплуатации уязвимости № 1 требуется наличие привилегий teacher. 2. Уязвимость существует из-за ошибки при чтении последних бесед. Злоумышленник может с помощью специально сформированного URL прочитать сообщение другого пользователя. 3. Уязвимость существует из-за ошибки при добавлении вопросов в головоломку, при которой пропускается проверка наличия привилегий question:use. Злоумышленник может добавить в головоломку собственный вопрос. 4. Уязвимость существует из-за ошибки при обработке прав доступа к банку вопросов. Удаленный пользователь может сохранить вопросы. 5. Уязвимость существует из-за ошибки при обработке привилегий доступа. Злоумышленник может осуществить редактирование элементов со свойством «только чтение». 6. Уязвимость существует из-за неизвестной ошибки. Злоумышленник может внести изменение в привилегии пользователей. Примечание: Для успешной эксплуатации уязвимости № 6 требуется наличие привилегий teacher. 7. Уязвимость существует из-за недостаточной обработки входных данных при сохранении заголовков страниц wiki. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 8. Уязвимость существует из-за недостаточной обработки входных данных в параметре name в сценарии admin/webservice/service.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 9. Уязвимость существует из-за недостаточной обработки входных данных в сценарии blog/index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 10. Уязвимость существует из-за недостаточной обработки входных данных при добавлении событий в календарь. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. 11. Уязвимость существует из-за недостаточной обработки входных данных в параметре idnumber в cohort/edit.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 12. Уязвимость существует из-за ошибки при обработке разрешений доступа. Злоумышленник может переписывать настройки других пользователей. 13. Уязвимость существует из-за ошибки при обработке разрешений доступа. Злоумышленник может создавать новые записи в календаре. Примечание: Уязвимости № 9, 10 и 14 распространяются на версии 1.9-1.9.17+, уязвимости № 1-4, распространяются на версии 2.2 - 2.2.2+ и 2.1 - 2.1.5+, уязвимости № 5-8, 11 и 12 распространяются на версии 1.9.17+, уязвимости № 9, 10 и 14 распространяются на версии 2.2 - 2.2.2+, 2.1 - 2.1.5+, и 2.0 - 2.0.8+. URL производителя: http://moodle.org/ Решение: Для устранения уязвимости установите продукт версии 1.9.18, 2.0.9, 2.1.6 или 2.2.3 с сайта производителя. |
|
| Ссылки: |
http://moodle.org/mod/forum/discuss.php http://moodle.org/mod/forum/discuss.php http://moodle.org/mod/forum/discuss.php http://moodle.org/mod/forum/discuss.php http://moodle.org/mod/forum/discuss.php http://moodle.org/mod/forum/discuss.php http://moodle.org/mod/forum/discuss.php http://moodle.org/mod/forum/discuss.php http://moodle.org/mod/forum/discuss.php http://moodle.org/mod/forum/discuss.php http://moodle.org/mod/forum/discuss.php http://moodle.org/mod/forum/discuss.php http://moodle.org/mod/forum/discuss.php |