Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-00978

Опубликовано: 25 мар. 2021
Источник: fstec
CVSS3: 5.4
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость поля субтитров событий календаря виртуальной обучающей среды Moodle связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки (XSS)

Вендор

Мартин Дугамас

Наименование ПО

Moodle

Версия ПО

3.10.3 (Moodle)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,4)
Средний уровень опасности (оценка CVSS 4.0 составляет 5,1)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- анализ ограничений XSS-защиты в зависимости от используемого фреймворка и обеспечение соответствующей обработки возникающих исключительных ситуаций;
- использование проверки входных данных по «белым спискам»;
- использование средств межсетевого экранирования уровня веб-приложений.

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 12%
0.00039
Низкий

5.4 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2021-47857

CVSS3: 7.2
nvd
15 дней назад

Moodle 3.10.3 contains a persistent cross-site scripting vulnerability in the calendar event subtitle field that allows attackers to inject malicious scripts. Attackers can craft a calendar event with malicious JavaScript in the subtitle track label to execute arbitrary code when users view the event.

debian логотип

CVE-2021-47857

CVSS3: 7.2
debian
15 дней назад

Moodle 3.10.3 contains a persistent cross-site scripting vulnerability ...

github логотип

GHSA-px56-6vfj-h8xp

CVSS3: 7.2
github
15 дней назад

Moodle 3.10.3 contains a persistent cross-site scripting vulnerability in the calendar event subtitle field that allows attackers to inject malicious scripts. Attackers can craft a calendar event with malicious JavaScript in the subtitle track label to execute arbitrary code when users view the event.

EPSS

Процентиль: 12%
0.00039
Низкий

5.4 Medium

CVSS3

6.4 Medium

CVSS2