Variante vulnerabile:
Moodle de la 2.6 la 2.6.6
Moodle de la 2.7 la 2.7.3
Moodle de la 2.8 la 2.8.1
Vulnerabilitățile permit unui utilizator de la distanță să efectueze un atac XSS, să ignore restricțiile de securitate și să ducă la refuzul de serviciu.
1) Se produce o eroare nespecificată la procesarea datelor de intrare. Un utilizator de la distanță poate utiliza o legătură generată special pentru a executa un cod de script arbitrar în browser-ul victimei în contextul securității site-ului vulnerabil.
2) Există o vulnerabilitate deoarece autentificarea HTTP nu este autentificată corespunzător. Utilizatorul de la distanță poate efectua un atac de CSRF folosind un link generat special și poate efectua anumite acțiuni legate de modulul glosar.
3) Există o vulnerabilitate nespecificată deoarece aplicația restricționează incorect accesul la schimbul de mesaje din serviciile web. Un utilizator de la distanță poate accesa informații sau funcții restricționate.
NOTĂ: Exploatarea cu succes a vulnerabilității necesită dezactivarea funcției de mesagerie.
4) Vulnerabilitatea există deoarece aplicația restricționează incorect accesul la calendarul din serviciile web. Utilizatorul la distanță poate accesa informațiile limitate din calendar.
5) Există o vulnerabilitate datorită procesării incorecte a matricei bitrate RISK_XSS. Un utilizator de la distanță poate ocoli protecția împotriva atacurilor XSS.
NOTĂ: Vulnerabilitatea există numai în versiunile 2.6.x și 2.7.x.
6) Se produce o eroare la procesarea expresiilor regulate într-un filtru media. Un utilizator de la distanță poate crește încărcarea serverului sau poate cauza o refuzare a accesului când vizitează anumite pagini.
Soluție: instalați remedierea de pe site-ul Web al producătorului.
Trimiteți-le prietenilor: