Множественные уязвимости в Moodle

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю осуществить неавторизованное изменение данных.

1. Уязвимость существует из-за того, что приложение некорректно ограничивает доступ к определенным действиям. Удаленный пользователь может отобразить и скрыть тему, а также установить текущую тему.

Примечание: Для эксплуатации уязвимости № 1 требуются привилегии редактирования курсов. Уязвимость № 1 распространяется на версии 2.3 - 2.3.1+ и 2.2 - 2.2.4+.

2. Уязвимость существует из-за того, что приложение не проверяет состояние публикации блога при обработке встроенных файлов. Удаленный пользователь может получить доступ к встроенным файлам неопубликованного блога.

3. Уязвимость существует из-за того, что приложение некорректно обрабатывает определенные разрешение. Удаленный пользователь может посредством прямого доступа к странице сброса вызвать сброс.

4. Уязвимость существует из-за недостаточного ограничения определенных функций при использовании токена web-службы, связанной с определенной внешней службой. Удаленный пользователь может обойти ограничения безопасности на системе.

Примечание: Уязвимости с № 2 по № 4 распространяются на версии 2.3 - 2.3.1+, 2.2 - 2.2.4+, и 2.1 - 2.1.7+.

5. Уязвимость существует из-за того отображения полного пути инсталляции в сообщении ошибки при обработке некорректно сформированных запросов в theme/yui_combo.php.

Примечание: Уязвимость №5 распространяется на версию 2.3 - 2.3.1+.

URL производителя: http://moodle.org/

Решение: Для устранения уязвимости установите продукт версии 2.1.8, 2.2.5, или 2.3.2 с сайта производителя.