Множественные уязвимости в Moodle

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, обойти ограничения безопасности, совершить спуфинг атаку и получить доступ к определенной конфиденциальной информации.

1. Уязвимость существует из-за недостаточной обработки входных данных в строках Quiz. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Приложение неправильно ограничивает доступ к Feedback. Удаленный пользователь может запустить или ограничить активность связи в Feedback.

3. Уязвимость существует из-за ошибки при контроле доступа в сценарии mod/chat/chat_ajax.php. Удаленный пользователь может ограничить действия в чате.

4. Уязвимость существует из-за ошибки в Wiki Recent Activity block. Удаленный пользователь может получить доступ к ограниченным страницам Wiki.

5. Уязвимость существует из-за недостаточной обработки входных данных в FlowPlayer. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

6. Уязвимость существует из-за ошибки в Forum и Quiz. Удаленный пользователь может получить доступ к адресу электронной почты.

7. Уязвимость существует из-за ошибки в репозитории Alias links in Alfresco. Удаленный пользователь может подменить файлы владельца.

8. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов. Удаленный пользователь может с помощью специально сформированной ссылки осуществить CSRF нападение и импортировать из IMS Enterprise.

9. Уязвимость существует из-за ошибки в значках. Удаленный пользователь может изменить статус значков видимости другим пользователям.

URL производителя: http://moodle.com/hq

Решение: Установите последнюю версию 2.4.9 или 2.5.5 с сайта производителя.