Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-07405

Опубликовано: 23 нояб. 2022
Источник: fstec
CVSS3: 5.4
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость системы управления курсами Moodle связана с недостаточной проверкой источника HTTP-запроса в URL-адресе перенаправления курса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять атаки с подделкой межсайтовых запросов

Вендор

Fedora Project
ООО «Ред Софт»
ФССП России
Мартин Дугамас

Наименование ПО

Fedora
РЕД ОС
ОС ТД АИС ФССП России
Moodle

Версия ПО

35 (Fedora)
7.3 (РЕД ОС)
ИК6 (ОС ТД АИС ФССП России)
36 (Fedora)
37 (Fedora)
от 3.9.0 до 3.9.18 (Moodle)
от 3.11.0 до 3.11.11 (Moodle)
от 4.0.0 до 4.0.5 (Moodle)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

Fedora Project Fedora 35
ООО «Ред Софт» РЕД ОС 7.3
ФССП России ОС ТД АИС ФССП России ИК6
Fedora Project Fedora 36
Fedora Project Fedora 37

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Moodle:
https://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-75862
https://moodle.org/mod/forum/discuss.php?d=440769
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2DHYIIAUXUBHMBEDYU7TYNZXEN2W2SA2/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/74SXNGA5RIWM7QNX7H3G7SYIQLP4UUGV/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NLRJB5JNKK3VVBLV3NH3RI7COEDAXSAB/
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/update-security/document32368545/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 44%
0.00211
Низкий

5.4 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-45149

CVSS3: 5.4
ubuntu
больше 2 лет назад

A vulnerability was found in Moodle which exists due to insufficient validation of the HTTP request origin in course redirect URL. A user's CSRF token was unnecessarily included in the URL when being redirected to a course they have just restored. A remote attacker can trick the victim to visit a specially crafted web page and perform arbitrary actions on behalf of the victim on the vulnerable website. This flaw allows an attacker to perform cross-site request forgery attacks.

nvd логотип

CVE-2022-45149

CVSS3: 5.4
nvd
больше 2 лет назад

A vulnerability was found in Moodle which exists due to insufficient validation of the HTTP request origin in course redirect URL. A user's CSRF token was unnecessarily included in the URL when being redirected to a course they have just restored. A remote attacker can trick the victim to visit a specially crafted web page and perform arbitrary actions on behalf of the victim on the vulnerable website. This flaw allows an attacker to perform cross-site request forgery attacks.

debian логотип

CVE-2022-45149

CVSS3: 5.4
debian
больше 2 лет назад

A vulnerability was found in Moodle which exists due to insufficient v ...

github логотип

GHSA-8v23-w4w5-w83c

CVSS3: 5.4
github
больше 2 лет назад

Cross-Site Request Forgery in Moodle

redos логотип

ROS-20221222-03

CVSS3: 9.1
redos
больше 2 лет назад

Множественные уязвимости moodle

EPSS

Процентиль: 44%
0.00211
Низкий

5.4 Medium

CVSS3

6.4 Medium

CVSS2