Описание
Множественные уязвимости moodle
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета Мoodle или Установить обновление для пакета(ов) Мoodle
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
27.06.2023
CVE-2023-23923
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость виртуальной обучающей среды Moodle связана с недостаточными ограничениями в настройках «стартовая страница». Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, установить эту настройку для другого пользователя.
8.2 High
CVSS3
9.7 Critical
CVSS2
CVE-2023-23922
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость виртуальной обучающей среды Moodle связана с недостаточной очисткой пользовательских данных при поиске по блогам, злоумышленник может заставить жертву перейти по специально созданной ссылке и выполнить произвольный код HTML и скрипт в браузере пользователя в контексте уязвимого веб-сайта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, украсть потенциально конфиденциальную информацию, изменить внешний вид веб-страницы, выполнить фишинговые атаки и атаки типа «драйв-загрузка».
6.1 Medium
CVSS3
6.4 Medium
CVSS2
CVE-2023-23921
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость виртуальной обучающей среды Moodle связана с недостаточной очисткой пользовательских данных в некоторых параметрах returnurl, злоумышленник может заставить жертву перейти по специально созданной ссылке и выполнить произвольный код HTML и скрипт в браузере пользователя в контексте уязвимого веб-сайта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, украсть потенциально конфиденциальную информацию, изменить внешний вид веб-страницы, выполнить фишинговые атаки и атаки типа «драйв-загрузка».
6.1 Medium
CVSS3
6.4 Medium
CVSS2
CVE-2022-0332
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость виртуальной обучающей среды Moodle связана с недостаточной очисткой предоставленных пользователем данных в mod_h5pactivity, которые отвечают за получение данных о попытках пользователя, злоумышленник может отправить специально созданный запрос уязвимому приложению и выполнить произвольные команды SQL в базе данных приложения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, читать, удалять, изменять данные в базе данных и получать полный контроль над уязвимым приложением.
9.8 Critical
CVSS3
10 Critical
CVSS2
CVE-2023-30944
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость виртуальной обучающей среды Moodle связана с недостаточной очисткой данных, предоставляемых пользователями, во внешнем методе Wiki для перечисления страниц, пользователь может отправить специально созданный запрос затронутому приложению и выполнить ограниченные команды SQL в базе данных приложения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, читать, удалять, изменять данные в базе данных и получать полный контроль над уязвимым приложением.
7.3 High
CVSS3
7.5 High
CVSS2