Описание
Уязвимость виртуальной обучающей среды Moodle связана с недостаточной очисткой данных, предоставленных пользователем в заголовке события календаря, при его удалении. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять атаки межсайтового скриптинга
Вендор
ООО «Ред Софт»
Мартин Дугамас
Наименование ПО
РЕД ОС
Moodle
Версия ПО
7.3 (РЕД ОС)
4.4.0 (Moodle)
от 4.2.0 до 4.2.8 (Moodle)
от 4.3.0 до 4.3.5 (Moodle)
от 4.1.0 до 4.1.11 (Moodle)
Тип ПО
Операционная система
Сетевое программное средство
Операционные системы и аппаратные платформы
ООО «Ред Софт» РЕД ОС 7.3
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,1)
Возможные меры по устранению уязвимости
Использование рекомендаций производителя:
https://moodle.org/mod/forum/discuss.php?d=459499
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 67%
0.00562
Низкий
6.1 Medium
CVSS3
6.4 Medium
CVSS2
Связанные уязвимости
CVSS3: 6.1
ubuntu
больше 1 года назад
Insufficient escaping of calendar event titles resulted in a stored XSS risk in the event deletion prompt.
CVSS3: 6.1
nvd
больше 1 года назад
Insufficient escaping of calendar event titles resulted in a stored XSS risk in the event deletion prompt.
CVSS3: 6.1
debian
больше 1 года назад
Insufficient escaping of calendar event titles resulted in a stored XS ...
CVSS3: 6.1
github
больше 1 года назад
Moodle stored XSS via calendar's event title when deleting the event
EPSS
Процентиль: 67%
0.00562
Низкий
6.1 Medium
CVSS3
6.4 Medium
CVSS2