Moodle — система управления образовательными электронными курсами
Релизный цикл, информация об уязвимостях
График релизов
Количество 2 535
CVE-2024-38277
A unique key should be generated for a user's QR login key and their auto-login key, so the same key cannot be used interchangeably between the two.
CVE-2024-38275
The cURL wrapper in Moodle retained the original request headers when following redirects, so HTTP authorization header information could be unintentionally sent in requests to redirect URLs.
CVE-2024-38274
Insufficient escaping of calendar event titles resulted in a stored XSS risk in the event deletion prompt.
CVE-2024-38273
Insufficient capability checks meant it was possible for users to gain access to BigBlueButton join URLs they did not have permission to access.
CVE-2024-38276
Incorrect CSRF token checks resulted in multiple CSRF risks.
BDU:2025-04743
Уязвимость виртуальной обучающей среды Moodle, связанная с подделкой межсайтовых запросов, позволяющая нарушителю осуществить CSRF-атаку
BDU:2024-04970
Уязвимость компонента New Activity Handler виртуальной обучающей среды Moodle, позволяющая нарушителю выполнить произвольный код
GHSA-jg4f-8w9x-jv35
Moodle Authenticated LFI risk in some misconfigured shared hosting environments
GHSA-68x5-4jg5-gjgg
Moodle CSRF risk in analytics management of models
GHSA-q3cm-ccrm-2mr6
Moodle Authenticated LFI risk in some misconfigured shared hosting environments
Уязвимостей на страницу
Уязвимость | CVSS | EPSS | Опубликовано 1 | |
|---|---|---|---|---|
 | CVE-2024-38277 A unique key should be generated for a user's QR login key and their auto-login key, so the same key cannot be used interchangeably between the two. | CVSS3: 5.4 | 0% Низкий | около 1 года назад |
| CVE-2024-38275 The cURL wrapper in Moodle retained the original request headers when following redirects, so HTTP authorization header information could be unintentionally sent in requests to redirect URLs. | CVSS3: 7.5 | 0% Низкий | около 1 года назад |
| CVE-2024-38274 Insufficient escaping of calendar event titles resulted in a stored XSS risk in the event deletion prompt. | CVSS3: 6.1 | 1% Низкий | около 1 года назад |
| CVE-2024-38273 Insufficient capability checks meant it was possible for users to gain access to BigBlueButton join URLs they did not have permission to access. | CVSS3: 5.4 | 0% Низкий | около 1 года назад |
| CVE-2024-38276 Incorrect CSRF token checks resulted in multiple CSRF risks. | CVSS3: 8.8 | 0% Низкий | около 1 года назад |
 | BDU:2025-04743 Уязвимость виртуальной обучающей среды Moodle, связанная с подделкой межсайтовых запросов, позволяющая нарушителю осуществить CSRF-атаку | CVSS3: 8.8 | 0% Низкий | около 1 года назад |
| BDU:2024-04970 Уязвимость компонента New Activity Handler виртуальной обучающей среды Moodle, позволяющая нарушителю выполнить произвольный код | CVSS3: 5.5 | 1% Низкий | около 1 года назад |
| GHSA-jg4f-8w9x-jv35 Moodle Authenticated LFI risk in some misconfigured shared hosting environments | CVSS3: 5.9 | 0% Низкий | около 1 года назад |
| GHSA-68x5-4jg5-gjgg Moodle CSRF risk in analytics management of models | CVSS3: 8.8 | 0% Низкий | около 1 года назад |
| GHSA-q3cm-ccrm-2mr6 Moodle Authenticated LFI risk in some misconfigured shared hosting environments | CVSS3: 6.5 | 0% Низкий | около 1 года назад |
Уязвимостей на страницу