Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-06359

Опубликовано: 08 авг. 2022
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость виртуальной обучающей среды Moodle связана с недостаточной очисткой пользовательских данных на странице администрирования сайта «browse list of users» («просмотреть список пользователей»). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные SQL-команды путем отправки специально созданного запроса

Вендор

Fedora Project
ООО «Ред Софт»
ФССП России
Мартин Дугамас

Наименование ПО

Fedora
РЕД ОС
ОС ТД АИС ФССП России
Moodle

Версия ПО

35 (Fedora)
7.3 (РЕД ОС)
ИК6 (ОС ТД АИС ФССП России)
36 (Fedora)
от 3.9.0 до 3.9.17 (Moodle)
от 3.11.0 до 3.11.10 (Moodle)
от 4.0.0 до 4.0.4 (Moodle)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

Fedora Project Fedora 35
ООО «Ред Софт» РЕД ОС 7.3
ФССП России ОС ТД АИС ФССП России ИК6
Fedora Project Fedora 36

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Moodle:
https://moodle.org/mod/forum/discuss.php?d=438394
https://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-75283
Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/
Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2022-1c77803b43
https://bodhi.fedoraproject.org/updates/FEDORA-2022-50c091d963

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 58%
0.00366
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-40315

CVSS3: 9.8
ubuntu
больше 2 лет назад

A limited SQL injection risk was identified in the "browse list of users" site administration page.

nvd логотип

CVE-2022-40315

CVSS3: 9.8
nvd
больше 2 лет назад

A limited SQL injection risk was identified in the "browse list of users" site administration page.

debian логотип

CVE-2022-40315

CVSS3: 9.8
debian
больше 2 лет назад

A limited SQL injection risk was identified in the "browse list of use ...

github логотип

GHSA-mqw9-3cjm-xwp3

CVSS3: 9.8
github
больше 2 лет назад

Moodle Minor SQL injection risk in admin user browsing

redos логотип

ROS-20221013-02

CVSS3: 9.8
redos
больше 2 лет назад

Множественные уязвимости Moodle

EPSS

Процентиль: 58%
0.00366
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2