Moodle — система управления образовательными электронными курсами
Релизный цикл, информация об уязвимостях
График релизов
Количество 2 647
CVE-2024-38277
A unique key should be generated for a user's QR login key and their auto-login key, so the same key cannot be used interchangeably between the two.
CVE-2024-38274
Insufficient escaping of calendar event titles resulted in a stored XSS risk in the event deletion prompt.
CVE-2024-38273
Insufficient capability checks meant it was possible for users to gain access to BigBlueButton join URLs they did not have permission to access.
CVE-2024-38276
Incorrect CSRF token checks resulted in multiple CSRF risks.
CVE-2024-38275
The cURL wrapper in Moodle retained the original request headers when following redirects, so HTTP authorization header information could be unintentionally sent in requests to redirect URLs.
BDU:2025-10840
Уязвимость виртуальной обучающей среды Moodle, связанная с использованием ключа после истечения срока его действия, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-04743
Уязвимость виртуальной обучающей среды Moodle, связанная с подделкой межсайтовых запросов, позволяющая нарушителю осуществить CSRF-атаку
BDU:2024-04970
Уязвимость компонента New Activity Handler виртуальной обучающей среды Moodle, позволяющая нарушителю выполнить произвольный код
GHSA-vvh5-7v3m-j3mj
Moodle Unsanitized HTML in site log for config_log_created
GHSA-mm9p-xwfm-3fqf
Moodle Authenticated LFI risk in some misconfigured shared hosting environments
Уязвимостей на страницу
Уязвимость | CVSS | EPSS | Опубликовано 1 | |
|---|---|---|---|---|
 | CVE-2024-38277 A unique key should be generated for a user's QR login key and their auto-login key, so the same key cannot be used interchangeably between the two. | CVSS3: 5.4 | 0% Низкий | больше 1 года назад |
| CVE-2024-38274 Insufficient escaping of calendar event titles resulted in a stored XSS risk in the event deletion prompt. | CVSS3: 6.1 | 1% Низкий | больше 1 года назад |
| CVE-2024-38273 Insufficient capability checks meant it was possible for users to gain access to BigBlueButton join URLs they did not have permission to access. | CVSS3: 5.4 | 0% Низкий | больше 1 года назад |
| CVE-2024-38276 Incorrect CSRF token checks resulted in multiple CSRF risks. | CVSS3: 8.8 | 0% Низкий | больше 1 года назад |
| CVE-2024-38275 The cURL wrapper in Moodle retained the original request headers when following redirects, so HTTP authorization header information could be unintentionally sent in requests to redirect URLs. | CVSS3: 7.5 | 1% Низкий | больше 1 года назад |
 | BDU:2025-10840 Уязвимость виртуальной обучающей среды Moodle, связанная с использованием ключа после истечения срока его действия, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации | CVSS3: 5.4 | 0% Низкий | больше 1 года назад |
| BDU:2025-04743 Уязвимость виртуальной обучающей среды Moodle, связанная с подделкой межсайтовых запросов, позволяющая нарушителю осуществить CSRF-атаку | CVSS3: 8.8 | 0% Низкий | больше 1 года назад |
| BDU:2024-04970 Уязвимость компонента New Activity Handler виртуальной обучающей среды Moodle, позволяющая нарушителю выполнить произвольный код | CVSS3: 5.5 | 4% Низкий | больше 1 года назад |
| GHSA-vvh5-7v3m-j3mj Moodle Unsanitized HTML in site log for config_log_created | CVSS3: 4.3 | 0% Низкий | больше 1 года назад |
| GHSA-mm9p-xwfm-3fqf Moodle Authenticated LFI risk in some misconfigured shared hosting environments | CVSS3: 6.5 | 0% Низкий | больше 1 года назад |
Уязвимостей на страницу