Дата публикации: | 07.08.2012 |
Всего просмотров: | 2287 |
Опасность: | Средняя |
Наличие исправления: | Да |
Количество уязвимостей: | 10 |
CVSSv2 рейтинг: | 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 6.4 (AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) 6.4 (AV:N/AC:L/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) |
CVE ID: |
CVE-2012-3387 CVE-2012-3388 CVE-2012-3389 CVE-2012-3390 CVE-2012-3391 CVE-2012-3392 CVE-2012-3393 CVE-2012-3394 CVE-2012-3395 CVE-2012-3396 CVE-2012-3397 CVE-2012-3398 |
Вектор эксплуатации: | Удаленная |
Воздействие: |
Межсайтовый скриптинг Раскрытие важных данных Неавторизованное изменение данных Обход ограничений безопасности |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: |
Moodle 2.0.x
Moodle 2.1.x Moodle 2.2.x Moodle 2.3.x |
Уязвимые версии: Moodle 2.0.10, возможно более ранние версии. Moodle 2.1.7, возможно более ранние версии. Moodle 2.2.4, возможно более ранние версии. Moodle 2.3.1, возможно более ранние версии. Описание: 1. Уязвимость существует из-за того, что приложение не правильно проверяет ссылки. Удаленный пользователь может обойти ограничения размеров файла. 2. Уязвимость существует из-за ошибки при проверке возможности кэшировать пользователей в функции "is_enrolled()" в файле lib/accesslib.php. Удаленный пользователь может обойти некоторые ограничения безопасности. 3. Уязвимость существует из-за недостаточной обработки входных данных в модуле LTI (External tool). Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 4. Уязвимость существует из-за того, что приложение не ограничивает доступ к файлам, встроенным, к примеру, в HTML-блок. Удаленный пользователь может получить доступ к защищенным файлам. 5. Уязвимость существует из-за ошибки при обработке публикаций Q&A форума через RSS каналы. Удаленный пользователь может раскрыть информацию с ограниченным доступом. 6. Уязвимость существует из-за ошибки при проверке возможности подписки на форум. Удаленный пользователь может отписаться от форума, с установленной защитой от отписки. 7. Уязвимость существует из-за ошибки при обработке перенаправлений во время процесса входа в систему через LDAP. Удаленный пользователь может сделать переадресовать пользователя с HTTPS на HTTP протокол. 8. Уязвимость существует из-за недостаточной обработки входных данных в administration of cohorts. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 9. Уязвимость существует из-за ошибки при обработке параметра "Restrict Access". Удаленный пользователь может раскрыть данные об активности закрытой группы. 10. Уязвимость существует из-за недостаточной обработки входных данных в модуле Feedback. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. URL производителя: http://moodle.org/ Решение: Установите последнюю версию с сайта производителя. |
|
Ссылки: |
http://moodle.org/mod/forum/discuss.php?d=207145 http://moodle.org/mod/forum/discuss.php?d=207146 http://moodle.org/mod/forum/discuss.php?d=207147 http://moodle.org/mod/forum/discuss.php?d=207148 http://moodle.org/mod/forum/discuss.php?d=207149 http://moodle.org/mod/forum/discuss.php?d=207150 http://moodle.org/mod/forum/discuss.php?d=207152 http://moodle.org/mod/forum/discuss.php?d=207153 http://moodle.org/mod/forum/discuss.php?d=207154 http://moodle.org/mod/forum/discuss.php?d=207155 |