Moodle — система управления образовательными электронными курсами
Релизный цикл, информация об уязвимостях
График релизов
Количество 2 647
CVE-2022-45151
The stored-XSS vulnerability was discovered in Moodle which exists due to insufficient sanitization of user-supplied data in several "social" user profile fields. An attacker could inject and execute arbitrary HTML and script code in user's browser in context of vulnerable website.
CVE-2022-45150
A reflected cross-site scripting vulnerability was discovered in Moodle. This flaw exists due to insufficient sanitization of user-supplied data in policy tool. An attacker can trick the victim to open a specially crafted link that executes an arbitrary HTML and script code in user's browser in context of vulnerable website. This vulnerability may allow an attacker to perform cross-site scripting (XSS) attacks to gain access potentially sensitive information and modification of web pages.
CVE-2022-45149
A vulnerability was found in Moodle which exists due to insufficient validation of the HTTP request origin in course redirect URL. A user's CSRF token was unnecessarily included in the URL when being redirected to a course they have just restored. A remote attacker can trick the victim to visit a specially crafted web page and perform arbitrary actions on behalf of the victim on the vulnerable website. This flaw allows an attacker to perform cross-site request forgery attacks.
BDU:2022-07405
Уязвимость системы управления курсами Moodle, связанная с недостаточной проверкой источника HTTP-запроса в URL-адресе перенаправления курса, позволяющая нарушителю выполнять атаки с подделкой межсайтовых запросов
BDU:2022-07408
Уязвимость системы управления курсами Moodle, связанная с недостаточной проверкой введенных пользователем данных в библиотеке поставщика LTI, позволяющая нарушителю выполнять SSRF-атаки
BDU:2022-07407
Уязвимость системы управления курсами Moodle, связанная с недостаточной очисткой пользовательских данных в нескольких «социальных» полях профиля пользователя, позволяющая нарушителю выполнять атаки с использованием межсайтовых сценариев (XSS)
BDU:2022-07406
Уязвимость системы управления курсами Moodle, существующая из-за непринятия мер по защите структуры веб-страницы, позволяющая нарушителю выполнять атаки с использованием межсайтовых сценариев (XSS)
GHSA-398j-f7m7-795j
PHPMailer vulnerable to email header injection
GHSA-xjr3-fwp9-9g96
Moodle Cross-Site Request Forgery (CSRF)
CVE-2022-2986
Enabling and disabling installed H5P libraries did not include the necessary token to prevent a CSRF risk.
Уязвимостей на страницу
Уязвимость | CVSS | EPSS | Опубликовано 1 | |
|---|---|---|---|---|
 | CVE-2022-45151 The stored-XSS vulnerability was discovered in Moodle which exists due to insufficient sanitization of user-supplied data in several "social" user profile fields. An attacker could inject and execute arbitrary HTML and script code in user's browser in context of vulnerable website. | CVSS3: 5.4 | 0% Низкий | около 3 лет назад |
| CVE-2022-45150 A reflected cross-site scripting vulnerability was discovered in Moodle. This flaw exists due to insufficient sanitization of user-supplied data in policy tool. An attacker can trick the victim to open a specially crafted link that executes an arbitrary HTML and script code in user's browser in context of vulnerable website. This vulnerability may allow an attacker to perform cross-site scripting (XSS) attacks to gain access potentially sensitive information and modification of web pages. | CVSS3: 6.1 | 1% Низкий | около 3 лет назад |
| CVE-2022-45149 A vulnerability was found in Moodle which exists due to insufficient validation of the HTTP request origin in course redirect URL. A user's CSRF token was unnecessarily included in the URL when being redirected to a course they have just restored. A remote attacker can trick the victim to visit a specially crafted web page and perform arbitrary actions on behalf of the victim on the vulnerable website. This flaw allows an attacker to perform cross-site request forgery attacks. | CVSS3: 5.4 | 0% Низкий | около 3 лет назад |
 | BDU:2022-07405 Уязвимость системы управления курсами Moodle, связанная с недостаточной проверкой источника HTTP-запроса в URL-адресе перенаправления курса, позволяющая нарушителю выполнять атаки с подделкой межсайтовых запросов | CVSS3: 5.4 | 0% Низкий | около 3 лет назад |
| BDU:2022-07408 Уязвимость системы управления курсами Moodle, связанная с недостаточной проверкой введенных пользователем данных в библиотеке поставщика LTI, позволяющая нарушителю выполнять SSRF-атаки | CVSS3: 9.1 | 0% Низкий | около 3 лет назад |
| BDU:2022-07407 Уязвимость системы управления курсами Moodle, связанная с недостаточной очисткой пользовательских данных в нескольких «социальных» полях профиля пользователя, позволяющая нарушителю выполнять атаки с использованием межсайтовых сценариев (XSS) | CVSS3: 5.4 | 0% Низкий | около 3 лет назад |
| BDU:2022-07406 Уязвимость системы управления курсами Moodle, существующая из-за непринятия мер по защите структуры веб-страницы, позволяющая нарушителю выполнять атаки с использованием межсайтовых сценариев (XSS) | CVSS3: 5.4 | 1% Низкий | около 3 лет назад |
| GHSA-398j-f7m7-795j PHPMailer vulnerable to email header injection | 0% Низкий | больше 3 лет назад | |
| GHSA-xjr3-fwp9-9g96 Moodle Cross-Site Request Forgery (CSRF) | CVSS3: 8.8 | 0% Низкий | больше 3 лет назад |
 | CVE-2022-2986 Enabling and disabling installed H5P libraries did not include the necessary token to prevent a CSRF risk. | CVSS3: 8.8 | 0% Низкий | больше 3 лет назад |
Уязвимостей на страницу