Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en Cloudera Data Engineering (CDE) (CVE-2020-26936)
Gravedad:
MediaMedia
Publication date: 26/11/2020
Last modified:
01/12/2020
Descripción:
Cloudera Data Engineering (CDE) versiones anteriores a 1.1, era vulnerable a un ataque de tipo CSRF
Vulnerabilidad en las propiedades y funciones de un objeto en el paquete systeminformation (CVE-2020-7778)
Gravedad:
AltaAlta
Publication date: 26/11/2020
Last modified:
01/12/2020
Descripción:
Esto afecta al paquete systeminformation versiones anteriores a 4.30.2. El atacante puede sobrescribir las propiedades y funciones de un objeto, lo que puede conllevar a ejecutar comandos del Sistema Operativo
Vulnerabilidad en un documento XML en petl (CVE-2020-29128)
Gravedad:
MediaMedia
Publication date: 26/11/2020
Last modified:
03/12/2020
Descripción:
petl versiones anteriores a 1.68, en algunas configuraciones, permite la resolución de entidades en un documento XML
Vulnerabilidad en el archivo test-browser/index.cfm en los parámetros de cadena de consulta en Ortus TestBox (CVE-2020-15928)
Gravedad:
MediaMedia
Publication date: 23/11/2020
Last modified:
01/12/2020
Descripción:
En Ortus TestBox versiones 2.4.0 hasta 4.1.0, los parámetros de cadena de consulta no comprobados para el archivo test-browser/index.cfm permiten un salto de directorios
Vulnerabilidad en el archivo system/runners/HTMLRunner.cfm en los parámetros de cadena de consulta en Ortus TestBox (CVE-2020-15929)
Gravedad:
AltaAlta
Publication date: 23/11/2020
Last modified:
21/07/2021
Descripción:
En Ortus TestBox versiones 2.4.0 hasta 4.1.0, los parámetros de cadena de consulta no comprobados pasados ??hacia el archivo system/runners/HTMLRunner.cfm permiten a un atacante escribir un archivo CFM arbitrario (dentro del contexto de la aplicación) que contiene etiquetas CFML definidas por el atacante, conllevando a una Ejecución de Código Remota
Vulnerabilidad en un mensaje de correo electrónico en la comprobación de la entrada en HCL Domino (CVE-2020-14230)
Gravedad:
MediaMedia
Publication date: 21/11/2020
Last modified:
01/12/2020
Descripción:
HCL Domino es susceptible a una vulnerabilidad de Denegación de Servicio causada por una comprobación inapropiada de la entrada suministrada por el usuario. Un atacante remoto no autenticado podría explotar esta vulnerabilidad mediante un mensaje de correo electrónico especialmente diseñado para bloquear el servidor. Las versiones anteriores a las versiones 9.0.1 FP10 IF6, 10.0.1 FP5 y 11.0.1 están afectadas
Vulnerabilidad en la comprobación de la entrada en HCL Domino (CVE-2020-14234)
Gravedad:
MediaMedia
Publication date: 21/11/2020
Last modified:
01/12/2020
Descripción:
HCL Domino es susceptible a una vulnerabilidad de Denegación de Servicio debido a una comprobación inapropiada de la entrada suministrada por el usuario, dándole potencialmente al atacante la capacidad de bloquear el servidor. Versiones anteriores a versión 9.0.1 FP10 IF6 y versión 10.0.1 están afectadas
Vulnerabilidad en un mensaje de correo electrónico en la comprobación de la entrada en HCL Notes (CVE-2020-14258)
Gravedad:
MediaMedia
Publication date: 21/11/2020
Last modified:
01/12/2020
Descripción:
HCL Notes es susceptible a una vulnerabilidad de Denegación de Servicio causada por una comprobación inapropiada de la entrada suministrada por el usuario. Un atacante remoto no autenticado podría explotar esta vulnerabilidad usando un mensaje de correo electrónico especialmente diseñado para colgar al cliente. Las versiones 9, 10 y 11 están afectadas
Vulnerabilidad en la validación del encabezado en la función pdf_get_version() en PDFResurrect (CVE-2020-20740)
Gravedad:
MediaMedia
Publication date: 20/11/2020
Last modified:
04/12/2020
Descripción:
PDFResurrect versiones anteriores a 0,20, una falta de comprobaciones de la validación del encabezado causa un desbordamiento del búfer en la región heap de la memoria en la función pdf_get_version()
Vulnerabilidad en votación en BigBlueButton (CVE-2020-28953)
Gravedad:
MediaMedia
Publication date: 19/11/2020
Last modified:
21/07/2021
Descripción:
En BigBlueButton versiones anteriores a 2.2.29, un usuario puede votar más de una vez en una sola encuesta
Vulnerabilidad en el tráfico entre EcoStruxure Machine - Software básico y el controlador Modicon M221 (CVE-2020-7567)
Gravedad:
BajaBaja
Publication date: 19/11/2020
Last modified:
11/12/2020
Descripción:
CWE-311: Se presenta una vulnerabilidad Falta Cifrado de Datos Confidenciales en Modicon M221 (todas las referencias, todas las versiones) que podría permitir al atacante encontrar el hash de contraseña cuando el atacante haya capturado el tráfico entre EcoStruxure Machine - Software básico y el controlador Modicon M221 y rompió las claves de cifrado
Vulnerabilidad en el tráfico entre EcoStruxure Machine - Software básico y el controlador Modicon M221 (CVE-2020-7568)
Gravedad:
BajaBaja
Publication date: 19/11/2020
Last modified:
11/12/2020
Descripción:
CWE-200: Se presenta una vulnerabilidad Exposición de Información Confidencial a un Actor No Autorizado en Modicon M221 (todas las referencias, todas las versiones) que podría permitir una divulgación de información no confidencial cuando el atacante haya capturado el tráfico entre EcoStruxure Machine - Software básico y el controlador Modicon M221
Vulnerabilidad en la Generación de Páginas Web en EcoStruxure Building Operation WebStation (CVE-2020-28210)
Gravedad:
MediaMedia
Publication date: 19/11/2020
Last modified:
01/12/2020
Descripción:
Se presenta una vulnerabilidad de Neutralización Inapropiada de la Entrada Durante la Generación de Páginas Web CWE-79 (Cross-site Scripting) en EcoStruxure Building Operation WebStation versiones V2.0 - V3.1, que podría hacer que un atacante inyecte código HTML y JavaScript en el navegador del usuario
Vulnerabilidad en la herramienta de carga de curso en Moodle (CVE-2020-25701)
Gravedad:
MediaMedia
Publication date: 19/11/2020
Last modified:
01/12/2020
Descripción:
Si la herramienta de carga de curso en Moodle se usó para eliminar un método de inscripción que no existía o no estaba habilitado, la herramienta habilitaría erróneamente ese método de inscripción. Esto podría conllevar a usuarios no deseados conseguir acceso al curso. Versiones afectadas: 3.9 hasta 3.9.2, 3.8 hasta 3.8.5, 3.7 hasta 3.7.8, 3.5 hasta 3.5.14 y versiones anteriores no compatibles. Esto se corrigió en moodle versiones 3.9.3, 3.8.6, 3.7.9, 3.5.15 y 3.10
Vulnerabilidad en la descarga de la tabla de participantes en Moodle (CVE-2020-25703)
Gravedad:
MediaMedia
Publication date: 19/11/2020
Last modified:
19/10/2021
Descripción:
La descarga de la tabla de participantes en Moodle siempre incluía correos electrónicos de unos usuarios, pero solo debería haberlo hecho cuando los correos electrónicos de los usuarios no están ocultos. Versiones afectadas: 3.9 hasta 3.9.2, 3.8 hasta 3.8.5 y 3.7 hasta 3.7.8. Esto se corrigió en moodle versiones 3.9.3, 3.8.6, 3.7.9 y 3.10
Vulnerabilidad en el sistema en IBM DB2 para Linux, UNIX y Windows (incluye DB2 Connect Server) (CVE-2020-4701)
Gravedad:
AltaAlta
Publication date: 19/11/2020
Last modified:
01/12/2020
Descripción:
IBM DB2 para Linux, UNIX y Windows (incluye DB2 Connect Server) versiones 10.5, 11.1 y 11.5, es vulnerable a un desbordamiento del búfer, causado por una comprobación inapropiada de límites que podría permitir a un atacante local ejecutar código arbitrario en el sistema con privilegios root
Vulnerabilidad en el módulo Documents en SuiteCRM (CVE-2020-15300)
Gravedad:
MediaMedia
Publication date: 18/11/2020
Last modified:
01/12/2020
Descripción:
SuiteCRM versiones hasta 7.11.13, presenta un redireccionamiento abierto en el módulo Documents por medio de un documento SVG diseñado
Vulnerabilidad en una barra doble en la URL en werkzeug (CVE-2020-28724)
Gravedad:
MediaMedia
Publication date: 18/11/2020
Last modified:
01/12/2020
Descripción:
Una vulnerabilidad de redireccionamiento abierto en werkzeug versiones anteriores a 0.11.6 por medio de una barra doble en la URL
Vulnerabilidad en los parámetros username y password en el archivo process.php en SourceCodester Water Billing System (CVE-2020-28183)
Gravedad:
AltaAlta
Publication date: 17/11/2020
Last modified:
01/12/2020
Descripción:
Una vulnerabilidad de inyección SQL en SourceCodester Water Billing System versión 1.0, por medio de los parámetros username y password en el archivo process.php
Vulnerabilidad en PESCMS Team (CVE-2020-28092)
Gravedad:
MediaMedia
Publication date: 17/11/2020
Last modified:
01/12/2020
Descripción:
PESCMS Team versión 2.3.2, presenta múltiples vulnerabilidades de tipo XSS reflejado por medio del id parameter:?g=Team&m=Task&a=my&status=3&id=,?g=Team&m=Task&a=my&status=0&id=,?g=Team&m=Task&a=my&status=1&id=,?g=Team&m=Task&a=my&status=10&id=
Vulnerabilidad en la funcionalidad web login en el archivo sales_inventory/login.php en SourceCodester Simple Grocery Store Sales and Inventory System (CVE-2020-28133)
Gravedad:
AltaAlta
Publication date: 17/11/2020
Last modified:
01/12/2020
Descripción:
Se detectó un problema en SourceCodester Simple Grocery Store Sales and Inventory System versión 1.0. Había una omisión de autenticación en la funcionalidad web login que permite a un atacante alcanzar privilegios de cliente por medio de una inyección SQL en el archivo sales_inventory/login.php
Vulnerabilidad en una página admin/create-package.php en SourceCodester Tourism Management System (CVE-2020-28136)
Gravedad:
MediaMedia
Publication date: 17/11/2020
Last modified:
01/12/2020
Descripción:
Es detectada una carga de archivos arbitraria en SourceCodester Tourism Management System versión 1.0, que permite al usuario conducir una ejecución de código remota por medio de una página vulnerable admin/create-package.php
Vulnerabilidad en la funcionalidad package upload en GitLab CE/EE (CVE-2020-26405)
Gravedad:
MediaMedia
Publication date: 17/11/2020
Last modified:
01/12/2020
Descripción:
Una vulnerabilidad de salto de ruta en la funcionalidad package upload en GitLab CE/EE desde la versión 12.8, permite a un atacante guardar paquetes en ubicaciones arbitrarias. Las versiones afectadas son las versiones posteriores a 12.8 e incluyéndola, versiones anteriores a 13.3.9, versiones posteriores a 13.4 e incluyéndola, versiones anteriores a 13.4.5, versiones posteriores a 13.5 e incluyéndola, versiones anteriores a 13.5.2
Vulnerabilidad en hipervínculos que apuntan a un ejecutable en el sistema de archivos en Apache OpenOffice (CVE-2020-13958)
Gravedad:
AltaAlta
Publication date: 17/11/2020
Last modified:
01/12/2020
Descripción:
Una vulnerabilidad en los eventos de scripting de Apache OpenOffice, permite a un atacante construir documentos que contienen hipervínculos que apuntan a un ejecutable en el sistema de archivos de los usuarios objetivo. Estos hipervínculos pueden ser activados incondicionalmente. En las versiones corregidas, no puede ser llamado a ningún protocolo interno desde el controlador de eventos del documento y otros hipervínculos requieren un clic de control
Vulnerabilidad en el firmware 20180921 de BASETech (CVE-2020-27553)
Gravedad:
MediaMedia
Publication date: 17/11/2020
Last modified:
01/12/2020
Descripción:
En el firmware BASETech GE-131 BT-1837836 20180921, el servidor web del sistema está configurado con la opción "DocumentRoot /etc". Esto permite a un atacante con acceso de red al servidor web descargar cualquier archivo de la carpeta "/etc" sin autenticación. No se necesitan secuencias de recorrido de ruta para explotar esta vulnerabilidad
Vulnerabilidad en el firmware 20180921 de BASETech (CVE-2020-27554)
Gravedad:
MediaMedia
Publication date: 17/11/2020
Last modified:
21/07/2021
Descripción:
Se presenta una vulnerabilidad de Transmisión de Información Confidencial en Texto sin Cifrar en el firmware 20180921 de BASETech GE-131 BT-1837836, que podría filtrar información confidencial transmitida entre la aplicación móvil y el dispositivo cámara
Vulnerabilidad en un usuario no documentado en el firmware 20180921 de BASETech GE-131 BT-1837836 (CVE-2020-27558)
Gravedad:
MediaMedia
Publication date: 17/11/2020
Last modified:
01/12/2020
Descripción:
Un uso de un usuario no documentado en el firmware 20180921 de BASETech GE-131 BT-1837836, permite a atacantes remotos visualizar la transmisión de video
Vulnerabilidad en la nueva consola de cuentas en Keycloak (CVE-2020-14389)
Gravedad:
MediaMedia
Publication date: 16/11/2020
Last modified:
04/11/2021
Descripción:
Se detectó que Keycloak versiones anteriores a 12.0.0, permitiría a un usuario que sólo tuviera una función de perfil de visualización administrar los recursos en la nueva consola de cuentas, permitiendo un acceso y una modificación de unos datos que el usuario no estaba destinado a tener
Vulnerabilidad en la herramienta de asistente de una interfaz XPC en BinaryNights ForkLif (CVE-2020-15349)
Gravedad:
AltaAlta
Publication date: 16/11/2020
Last modified:
21/07/2021
Descripción:
BinaryNights ForkLift versiones 3.x anteriores a 3.4, presenta una vulnerabilidad de escalada de privilegios local porque la herramienta de asistente privilegiada implementa una interfaz XPC que permite operaciones de archivo para cualquier proceso (copiar, mover, eliminar) como root y cambiar permisos
Vulnerabilidad en la carga de una aplicación en ConnectIQ TVM en Garmin Forerunner 235 (CVE-2020-27486)
Gravedad:
MediaMedia
Publication date: 16/11/2020
Last modified:
02/12/2020
Descripción:
Garmin Forerunner 235 versiones anteriores a 8.20, está afectado por: un Desbordamiento del Búfer. El componente es: ConnectIQ TVM. El vector de ataque es: Para explotar la vulnerabilidad, el atacante debe cargar una aplicación de ConnectIQ maliciosa en la tienda ConnectIQ. El intérprete del programa ConnectIQ confía en la longitud de la cadena proporcionada en la sección de datos del archivo PRG. Asigna memoria para la cadena inmediatamente y luego copia la cadena en el objeto TVM mediante una función similar a strcpy. Esta copia puede exceder la longitud de los datos de cadena asignados y sobrescribir los datos de la pila. Una explotación con éxito permitiría a una aplicación de la tienda de aplicaciones ConnectIQ escapar y llevar a cabo actividades fuera del entorno de ejecución de aplicaciones restringido
Vulnerabilidad en la funcionalidad export en el componente WebTools de los dispositivos Canon Oce ColorWave 3500 (CVE-2020-26508)
Gravedad:
MediaMedia
Publication date: 16/11/2020
Last modified:
01/12/2020
Descripción:
El componente WebTools de los dispositivos Canon Oce ColorWave 3500 versión 5.1.1.0, permite a atacantes recuperar las credenciales SMB almacenadas por medio de la funcionalidad export, aunque sean intencionadamente inaccesibles en la interfaz de usuario
Vulnerabilidad en el archivo import.json.php para AVideo (CVE-2020-23489)
Gravedad:
MediaMedia
Publication date: 16/11/2020
Last modified:
21/07/2021
Descripción:
El archivo import.json.php anterior a versión 8.9 para AVideo es susceptible a una vulnerabilidad de eliminación de archivos. Esto permite la eliminación del archivo configuration.php, lo que conduce a que no se lleven a cabo determinadas comprobaciones de privilegios y, por lo tanto, un usuario puede escalar los privilegios a administrador
Vulnerabilidad en archivos locales en la transmisión por proxy en AVideo (CVE-2020-23490)
Gravedad:
MediaMedia
Publication date: 16/11/2020
Last modified:
21/07/2021
Descripción:
Se presentó una vulnerabilidad de divulgación de archivos locales en AVideo versiones anteriores a 8.9, por medio de la transmisión por proxy. Un atacante no autenticado puede aprovechar este problema para leer un archivo arbitrario en el servidor. Lo que podría filtrar las credenciales de la base de datos u otra información confidencial como el archivo /etc/passwd
Vulnerabilidad en peticiones HTTP en JetBrains Ktor (CVE-2020-26129)
Gravedad:
MediaMedia
Publication date: 16/11/2020
Last modified:
01/12/2020
Descripción:
En JetBrains Ktor versiones anteriores a 1.4.1, era posible el tráfico no autorizado de peticiones HTTP
Vulnerabilidad en el módulo de restablecimiento de contraseña en el buzón de correo en Anuko Time Tracker (CVE-2020-27423)
Gravedad:
MediaMedia
Publication date: 16/11/2020
Last modified:
01/12/2020
Descripción:
Anuko Time Tracker versión v1.19.23.5311, carece de límite de velocidad en el módulo de restablecimiento de contraseña que permite al atacante llevar a cabo un ataque de denegación de servicio en el buzón de correo de cualquier usuario legítimo
Vulnerabilidad en una URL en JetBrains TeamCity (CVE-2020-27627)
Gravedad:
MediaMedia
Publication date: 16/11/2020
Last modified:
01/12/2020
Descripción:
JetBrains TeamCity versiones anteriores a 2020.1.2, era vulnerable a una inyección de URL
Vulnerabilidad en los parámetros de dependencias seguras en JetBrains TeamCity (CVE-2020-27629)
Gravedad:
MediaMedia
Publication date: 16/11/2020
Last modified:
01/12/2020
Descripción:
En JetBrains TeamCity versiones anteriores a 2020.1.5, los parámetros de dependencias seguras no podían ser enmascarados en compilaciones dependiendo de cuando no existan artefactos internos
Vulnerabilidad en el archivo DeepCopy.ts en la función deepExtend en el paquete @firebase/util (CVE-2020-7765)
Gravedad:
MediaMedia
Publication date: 16/11/2020
Last modified:
01/12/2020
Descripción:
Esto afecta al paquete @firebase/util versiones anteriores a 0.3.4. Esta vulnerabilidad se relaciona con la función deepExtend dentro del archivo DeepCopy.ts. Dependiendo de si se proporciona la entrada del usuario, un atacante puede sobrescribir y contaminar el prototipo de objeto de un programa
Vulnerabilidad en JavaScript como valor de lang en la funcionalidad de resaltado de código en línea markdown-it-highlightjs en el paquete markdown-it-highlightjs (CVE-2020-7773)
Gravedad:
MediaMedia
Publication date: 16/11/2020
Last modified:
01/12/2020
Descripción:
Esto afecta al paquete markdown-it-highlightjs versiones anteriores a 3.3.1. Es posible insertar JavaScript malicioso como valor de lang en la funcionalidad de resaltado de código en línea markdown-it-highlightjs. const markdownItHighlightjs = require("markdown-it-highlightjs"); const md = require("markdown-it"); const reuslt_xss = md() .use(markdownItHighlightjs, {inline: true}) .render("console.log(42){.")js}'); console.log(reuslt_xss)
Vulnerabilidad en el archivo app/admin/controller/Ajax.php en el parámetro "table" en fastadmin-tp6 (CVE-2020-21667)
Gravedad:
MediaMedia
Publication date: 13/11/2020
Last modified:
01/12/2020
Descripción:
En fastadmin-tp6 versión v1.0, en el archivo app/admin/controller/Ajax.php, el parámetro "table" pasado no es filtrado, así que puede ser pasado un parámetro malicioso para una inyección SQL
Vulnerabilidad en un acceso de red en el subsistema para Intel® Quartus® Prime Pro Edition e Intel® Quartus® Prime Standard Edition (CVE-2020-24454)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
01/12/2020
Descripción:
Una Restricción Inapropiada de XML External Entity Reference en el subsistema para Intel® Quartus® Prime Pro Edition anterior a versión 20.3 e Intel® Quartus® Prime Standard Edition anterior a versión 20.2, puede habilitar a un usuario no autenticado para permitir potencialmente una divulgación de información por medio de un acceso de red
Vulnerabilidad en Azure Sphere de Microsoft (CVE-2020-16983)
Gravedad:
AltaAlta
Publication date: 11/11/2020
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de Manipulación de Azure Sphere
Vulnerabilidad en el plugin Canto para WordPress (CVE-2020-24063)
Gravedad:
MediaMedia
Publication date: 10/11/2020
Last modified:
01/12/2020
Descripción:
El plugin Canto versión 1.3.0, para WordPress permite un ataque SSRF en includes/lib/download.php?subdomain=
Vulnerabilidad en ProgramData\Ilex\S&G\Logs\000-sngWSService1.log en Ilex International Sign & go Workstation Security Suite (CVE-2020-23968)
Gravedad:
MediaMedia
Publication date: 10/11/2020
Last modified:
01/12/2020
Descripción:
Ilex International Sign & go Workstation Security Suite versión 7.1, permite una elevación de privilegios por medio de un ataque de tipo symlink en ProgramData\Ilex\S&G\Logs\000-sngWSService1.log
Vulnerabilidad en una interfaz de monitoreo de power/energy en Xen (CVE-2020-28368)
Gravedad:
BajaBaja
Publication date: 10/11/2020
Last modified:
21/07/2021
Descripción:
Xen versiones hasta 4.14.x, permite a administradores de Sistemas Operativos invitados obtener información confidencial (tales como claves AES desde fuera del invitado) por medio de un ataque de canal lateral en una interfaz de monitoreo de power/energy, también se conoce como un ataque "Platypus". NOTA: solo existe una corrección lógicamente independiente: cambiar el control de acceso para cada interfaz de este tipo en Xen

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

CVE-2020-28974
Gravedad:
MediaMedia
Publication date: 20/11/2020
Last modified:
27/01/2021
Descripción:
Una lectura fuera de límites en fbcon en el kernel de Linux versiones anteriores a 5.9.7, podría ser usada por parte de atacantes locales para leer información privilegiada o potencialmente bloquear el kernel, también se conoce como CID-3c4e0dff2095. Esto ocurre porque la función KD_FONT_OP_COPY en el archivo drivers/tty/vt/vt.c puede ser usada para manipulaciones tales como la altura de la fuente
Vulnerabilidad en el tráfico entre EcoStruxure Machine - Software básico y el controlador Modicon M221 (CVE-2020-7565)
Gravedad:
MediaMedia
Publication date: 19/11/2020
Last modified:
21/09/2021
Descripción:
CWE-326: Se presenta una vulnerabilidad de Fortaleza de Cifrado Inadecuada en Modicon M221 (todas las referencias, todas las versiones) que podría permitir al atacante romper la clave de cifrado cuando el atacante haya capturado el tráfico entre EcoStruxure Machine - Software básico y el controlador Modicon M221
Vulnerabilidad en el tráfico entre EcoStruxure Machine - Software básico y el controlador Modicon M221 (CVE-2020-7566)
Gravedad:
MediaMedia
Publication date: 19/11/2020
Last modified:
21/09/2021
Descripción:
CWE-334: Se presenta una vulnerabilidad de Espación Pequeño de Valores Aleatorios ??en Modicon M221 (todas las referencias, todas las versiones) que podría permitir al atacante romper las claves de cifrado cuando el atacante ha capturado el tráfico entre EcoStruxure Machine - Software básico y el controlador Modicon M221
Vulnerabilidad en la lista de permitidos del Security Framework de XStream (CVE-2020-26217)
Gravedad:
AltaAlta
Publication date: 16/11/2020
Last modified:
03/12/2021
Descripción:
XStream anterior a versión 1.4.14, es vulnerable a una ejecución de código remota. La vulnerabilidad puede permitir a un atacante remoto ejecutar comandos de shell arbitrarios solo manipulando el flujo de entrada procesado. Solo los usuarios que dependen de las listas de bloqueo están afectados. Cualquiera que utilice la lista de permitidos del Security Framework de XStream no estará afectado. El aviso vinculado proporciona soluciones de código para usuarios que no pueden actualizar. El problema se corrigió en la versión 1.4.14
Vulnerabilidad en la vista general del curso en Moodle (CVE-2017-7531)
Gravedad:
MediaMedia
Publication date: 17/07/2017
Last modified:
01/12/2020
Descripción:
En Moodle versión 3.3, el bloque de vista general del curso revela actividades en cursos ocultos.
Vulnerabilidad en Moodle (CVE-2016-3729)
Gravedad:
MediaMedia
Publication date: 20/04/2017
Last modified:
01/12/2020
Descripción:
El formulario de edición de usuarios en Moodle 3.0 en versiones hasta 3.0.3, 2.9 en versiones hasta 2.9.5, 2.8 en versiones hasta 2.8.11, 2.7 en versiones hasta 2.7.13 y en versiones anteriores permite usuarios remotos autenticados editar los campos de perfil bloqueados por el administrador.
Vulnerabilidad en Moodle (CVE-2016-3731)
Gravedad:
MediaMedia
Publication date: 20/04/2017
Last modified:
01/12/2020
Descripción:
Moodle 3.0 en versiones hasta 3.0.3, 2.9 en versiones hasta 2.9.5 y 2.8 en versiones hasta 2.8.11 permite a atacantes remotos obtener los nombres de foros ocultos y discusiones de foro.
Vulnerabilidad en Moodle (CVE-2016-3732)
Gravedad:
MediaMedia
Publication date: 20/04/2017
Last modified:
01/12/2020
Descripción:
La comprobación de capacidad para acceder a otros distintivos en Moodle 3.0 en versiones hasta 3.0.3, 2.9 en versiones hasta 2.9.5, 2.8 en versiones hasta 2.8.11, 2.7 en versiones hasta 2.7.13 y en versiones anteriores, permite a usuarios remotos autenticados leer los distintivos de otros usuarios.
Vulnerabilidad en Moodle (CVE-2016-3733)
Gravedad:
MediaMedia
Publication date: 20/04/2017
Last modified:
01/12/2020
Descripción:
La función "restore teacher" en Moodle 3.0 en versiones hasta 3.0.3, 2.9 en versiones hasta 2.9.5, 2.8 en versiones hasta 2.8.11, 2.7 en versiones hasta 2.7.13 y en versiones anteriores, permite a usuarios remotos autenticados sobrescribir el idnumber del curso.
Vulnerabilidad en Moodle (CVE-2016-3734)
Gravedad:
MediaMedia
Publication date: 20/04/2017
Last modified:
01/12/2020
Descripción:
Vulnerabilidad CSRF en markposts.php en Moodle 3.0 en versiones hasta 3.0.3, 2.9 en versiones hasta 2.9.5, 2.8 en versiones hasta 2.8.11, 2.7 en versiones hasta 2.7.13 y en versiones anteriores, permite a atacantes remotos secuestrar la la autenticación de los usuarios para las solicitudes que marca los posts del foro como leídos.
Vulnerabilidad en Moodle (CVE-2016-5013)
Gravedad:
MediaMedia
Publication date: 20/01/2017
Last modified:
01/12/2020
Descripción:
En Moodle 2.x y 3.x, puede ocurrir inyección de texto en las cabeceras de email, conduciendo potencialmente a salida de spam.
Vulnerabilidad en Moodle (CVE-2016-5014)
Gravedad:
MediaMedia
Publication date: 20/01/2017
Last modified:
01/12/2020
Descripción:
En Moodle 2.x y 3.x, un usuario no registrado sigue recibiendo notificaciones de supervisión de eventos aunque no pueda acceder al curso.
Vulnerabilidad en Moodle (CVE-2016-7038)
Gravedad:
MediaMedia
Publication date: 20/01/2017
Last modified:
01/12/2020
Descripción:
En Moodle 2.x y 3.x, tokens de servicio web no son invalidados cuando la contraseña de usuario es cambiada o se obliga a cambiarla.
Vulnerabilidad en Moodle (CVE-2016-8642)
Gravedad:
MediaMedia
Publication date: 20/01/2017
Last modified:
01/12/2020
Descripción:
En Moodle 2.x y 3.x, el motor de consultas permite acceder a archivos que no deberían estar disponibles.
Vulnerabilidad en Moodle (CVE-2016-8643)
Gravedad:
MediaMedia
Publication date: 20/01/2017
Last modified:
01/12/2020
Descripción:
En Moodle 2.x y 3.x, gestores del sitio no administradores podrían editar accidentalmente los administradores a través de los servicios web.
Vulnerabilidad en Moodle (CVE-2016-8644)
Gravedad:
MediaMedia
Publication date: 20/01/2017
Last modified:
01/12/2020
Descripción:
En Moodle 2.x y 3.x, la capacidad de ver notas de curso se comprueba en el contexto incorrecto.
Vulnerabilidad en Moodle (CVE-2017-2576)
Gravedad:
MediaMedia
Publication date: 20/01/2017
Last modified:
01/12/2020
Descripción:
En Moodle 2.x y 3.x, hay una desinfección incorrecta de atributos en foros.
Vulnerabilidad en user/index.php en Moodle (CVE-2016-2151)
Gravedad:
MediaMedia
Publication date: 22/05/2016
Last modified:
01/12/2020
Descripción:
user/index.php en Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.13, 2.8.x en versiones anteriores a 2.8.11, 2.9.x en versiones anteriores a 2.9.5 y 3.0.x en versiones anteriores a 3.0.3 concede excesiva autorización sobre la base de la capacidad de moodle/course:viewhiddenuserfields, lo que permite a usuarios remotos autenticados descubrir direcciones e-mail de estudiantes aprovechando el rol de profesor y leyendo una lista Participants.
Vulnerabilidad en auth/db/auth.php en Moodle (CVE-2016-2152)
Gravedad:
MediaMedia
Publication date: 22/05/2016
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de XSS en auth/db/auth.php en Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.13, 2.8.x en versiones anteriores a 2.8.11, 2.9.x en versiones anteriores a 2.9.5 y 3.0.x en versiones anteriores a 3.0.3 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de un campo externo DB profile.
Vulnerabilidad en la funcionalidad advanced-search en mod_data en Moodle (CVE-2016-2153)
Gravedad:
MediaMedia
Publication date: 22/05/2016
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de XSS en la funcionalidad advanced-search en mod_data en Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.13, 2.8.x en versiones anteriores a 2.8.11, 2.9.x en versiones anteriores a 2.9.5 y 3.0.x en versiones anteriores a 3.0.3 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de un campo manipulado en una URL, según lo demostrado por un campo de formulario de búsqueda.
Vulnerabilidad en admin/tool/monitor/lib.php en Event Monitor en Moodle (CVE-2016-2154)
Gravedad:
MediaMedia
Publication date: 22/05/2016
Last modified:
01/12/2020
Descripción:
admin/tool/monitor/lib.php en Event Monitor en Moodle 2.8.x en versiones anteriores a 2.8.11, 2.9.x en versiones anteriores a 2.9.5 y 3.0.x en versiones anteriores a 3.0.3 no considera la capacidad moodle/course:viewhiddencourses, lo que permite a usuarios remotos autenticados descubrir el nombre de cursos ocultos suscribiéndose a una regla.
Vulnerabilidad en la funcionalidad grade-reporting en Singleview (CVE-2016-2155)
Gravedad:
MediaMedia
Publication date: 22/05/2016
Last modified:
01/12/2020
Descripción:
La funcionalidad grade-reporting en Singleview (también conocida como Single View) en Moodle 2.8.x en versiones anteriores a 2.8.11, 2.9.x en versiones anteriores a 2.9.5 y 3.0.x en versiones anteriores a 3.0.3 no considera la capacidad moodle/grade:manage, lo que permite a usuarios remotos autenticados modificar ajustes "Exclude grade" aprovechando el rol Non-Editing Instructor.
Vulnerabilidad en calendar/externallib.php en Moodle (CVE-2016-2156)
Gravedad:
MediaMedia
Publication date: 22/05/2016
Last modified:
01/12/2020
Descripción:
alendar/externallib.php en Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.13, 2.8.x en versiones anteriores a 2.8.11, 2.9.x en versiones anteriores a 2.9.5 y 3.0.x en versiones anteriores a 3.0.3 proporciona datos de eventos de calendario sin tener en cuenta si una actividad está oculta, lo que permite a usuarios remotos autenticados obtener información sensible a través de una petición de servicio web.
Vulnerabilidad en mod/assign/adminmanageplugins.php en Moodle (CVE-2016-2157)
Gravedad:
MediaMedia
Publication date: 22/05/2016
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de CSRF en mod/assign/adminmanageplugins.php en Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.13, 2.8.x en versiones anteriores a 2.8.11, 2.9.x en versiones anteriores a 2.9.5 y 3.0.x en versiones anteriores a 3.0.3 permite a atacantes remotos secuestrar la autenticación de administradores para peticiones que manejan plugins Assignment.
Vulnerabilidad en lib/ajax/getnavbranch.php en Moodle (CVE-2016-2158)
Gravedad:
MediaMedia
Publication date: 22/05/2016
Last modified:
01/12/2020
Descripción:
lib/ajax/getnavbranch.php en Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.13, 2.8.x en versiones anteriores a 2.8.11, 2.9.x en versiones anteriores a 2.9.5 y 3.0.x en versiones anteriores a 3.0.3, cuando la funcionalidad forcelogin está activada, permite a atacantes remotos obtener información sensible del detalle de categoría de la rama de navegación aprovechando el rol de invitado para una petición Ajax.
Vulnerabilidad en la función save_submission en mod/assign/externallib.php en Moodle (CVE-2016-2159)
Gravedad:
MediaMedia
Publication date: 22/05/2016
Last modified:
01/12/2020
Descripción:
La función save_submission en mod/assign/externallib.php en Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.13, 2.8.x en versiones anteriores a 2.8.11, 2.9.x en versiones anteriores a 2.9.5 y 3.0.x en versiones anteriores a 3.0.3 permite a usuarios remotos autenticados eludir las restricciones de fecha de vencimiento previstas aprovechando el rol de estudiante para un petición de servicio web.
Vulnerabilidad en Moodle (CVE-2016-2190)
Gravedad:
MediaMedia
Publication date: 22/05/2016
Last modified:
01/12/2020
Descripción:
Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.13, 2.8.x en versiones anteriores a 2.8.11, 2.9.x en versiones anteriores a 2.9.5 y 3.0.x en versiones anteriores a 3.0.3 no restringe correctamente enlaces, lo que permite a atacantes remotos obtener información URL sensible leyendo un registro Referer.
Vulnerabilidad en mod/forum/post.php en Moodle (CVE-2015-3273)
Gravedad:
MediaMedia
Publication date: 22/02/2016
Last modified:
01/12/2020
Descripción:
mod/forum/post.php en Moodle 2.9.x en versiones anteriores a 2.9.1 no considera la capacidad mod/forum:canposttomygroups antes de autorizar una acción "Enviar una copia a todos los grupos", lo que permite a usuarios remotos autenticados eludir las restricciones destinadas al acceso aprovechando autorizaciones por grupo.
Vulnerabilidad en el módulo Forum en Moodle (CVE-2015-5272)
Gravedad:
MediaMedia
Publication date: 22/02/2016
Last modified:
01/12/2020
Descripción:
El módulo Forum en Moodle 2.7.x en versiones anteriores a 2.7.10 permite a usuarios remotos autenticados publicar en grupos arbitrarios aprovechando el rol de profesor, según lo demostrado por una publicación directa a "todos los participantes".
Vulnerabilidad en Moodle (CVE-2015-5331)
Gravedad:
MediaMedia
Publication date: 22/02/2016
Last modified:
01/12/2020
Descripción:
Moodle 2.9.x en versiones anteriores a 2.9.3 no comprueba adecuadamente la lista de contactos antes de autorizar la transmisión del mensaje, lo que permite a usuarios remotos autenticados eludir las restricciones destinadas al acceso y llevar a cabo ataques de spam a través de la API messaging.
Vulnerabilidad en Atto en Moodle (CVE-2015-5332)
Gravedad:
AltaAlta
Publication date: 22/02/2016
Last modified:
01/12/2020
Descripción:
Atto en Moodle 2.8.x en versiones anteriores a 2.8.9 y 2.9.x en versiones anteriores a 2.9.3 permite a atacantes remotos causar una denegación de servicio (consumo de disco) aprovechando el rol invitado e introduciendo borradores con la funcionalidad editor-autosave.
Vulnerabilidad en los servicios web (1) core_enrol_get_course_enrolment_methods y (2) enrol_self_get_instance_info en Moodle (CVE-2016-0724)
Gravedad:
MediaMedia
Publication date: 22/02/2016
Last modified:
01/12/2020
Descripción:
Los servicios web (1) core_enrol_get_course_enrolment_methods y (2) enrol_self_get_instance_info en Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.12, 2.8.x en versiones anteriores a 2.8.10, 2.9.x en versiones anteriores a 2.9.4 y 3.0.x en versiones anteriores a 3.0.2 no consideran la capacidad moodle/course:viewhiddencourses, lo que permite a usuarios remotos autenticados obtener información sensible a través de una petición a servicio web.
Vulnerabilidad en la función search_pagination en course/classes/management_renderer.php en Moodle (CVE-2016-0725)
Gravedad:
MediaMedia
Publication date: 22/02/2016
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de XSS en la función search_pagination en course/classes/management_renderer.php en Moodle 2.8.x en versiones anteriores a 2.8.10, 2.9.x en versiones anteriores a 2.9.4 y 3.0.x en versiones anteriores a 3.0.2 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de una cadena de búsqueda manipulada.
Vulnerabilidad en la función clean_param en lib/moodlelib.php en Moodle (CVE-2015-3272)
Gravedad:
MediaMedia
Publication date: 22/02/2016
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de redirección abierta en la función clean_param en lib/moodlelib.php en Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.9, 2.8.x en versiones anteriores a 2.8.7 y 2.9.x en versiones anteriores a 2.9.1 permite a atacantes remotos redirigir usuarios a sitios web arbitrarios y llevar a cabo ataques de phishing a través de vectores que implican una cabecera HTTP Referer que tiene una subcadena coincidente con una URL local.
Vulnerabilidad en la función user_get_user_details en user/lib.php en Moodle (CVE-2015-3274)
Gravedad:
MediaMedia
Publication date: 22/02/2016
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de XSS en la función user_get_user_details en user/lib.php en Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.9, 2.8.x en versiones anteriores a 2.8.7 y 2.9.x en versiones anteriores a 2.9.1 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios aprovechando la ausencia de una llamada external_format_text en un servicio web.
Vulnerabilidad en el módulo SCORM en Moodle (CVE-2015-3275)
Gravedad:
MediaMedia
Publication date: 22/02/2016
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de XSS en el módulo SCORM en Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.9, 2.8.x en versiones anteriores a 2.8.7 y 2.9.x en versiones anteriores a 2.9.1 permiten a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de un nombre de organización manipulado en (1) mod/scorm/player.php o (2) mod/scorm/prereqs.php.
Vulnerabilidad en el módulo lesson en Moodle (CVE-2015-5264)
Gravedad:
MediaMedia
Publication date: 22/02/2016
Last modified:
01/12/2020
Descripción:
El módulo lesson en Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.10, 2.8.x en versiones anteriores a 2.8.8 y 2.9.x en versiones anteriores a 2.9.2 permite a usuarios remotos autenticados eludir las restricciones destinadas al acceso e introducir intentos de respuesta adicionales al aprovechar el rol de estudiante.
Vulnerabilidad en el componente wiki en Moodle (CVE-2015-5265)
Gravedad:
MediaMedia
Publication date: 22/02/2016
Last modified:
01/12/2020
Descripción:
El componente wiki en Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.10, 2.8.x en versiones anteriores a 2.8.8 y 2.9.x en versiones anteriores a 2.9.2 no considera la capacidad mod/wiki:managefiles antes de autorizar la administración de archivos, lo que permite a usuarios remotos autenticados eliminar archivos arbitrarios mediante el uso de un botón manage-files en un editor de texto.
Vulnerabilidad en la función enrol_meta_sync en enrol/meta/locallib.php en Moodle (CVE-2015-5266)
Gravedad:
MediaMedia
Publication date: 22/02/2016
Last modified:
01/12/2020
Descripción:
La función enrol_meta_sync en enrol/meta/locallib.php en Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.10, 2.8.x en versiones anteriores a 2.8.8 y 2.9.x en versiones anteriores a 2.9.2 permite a usuarios remotos autenticados obtener privilegios de administrador en circunstancias oportunistas aprovechando el procesado incorrecto del rol durante una secuencia de comandos de sincronización de larga duración.
Vulnerabilidad en lib/moodlelib.php en Moodle (CVE-2015-5267)
Gravedad:
MediaMedia
Publication date: 22/02/2016
Last modified:
01/12/2020
Descripción:
lib/moodlelib.php en Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.10, 2.8.x en versiones anteriores a 2.8.8 y 2.9.x en versiones anteriores a 2.9.2 se basa en la función PHP mt_rand para la implementación de las funciones random_string y complex_random_string, lo que hace que sea más fácil para atacantes remotos predecir tokens de recuperación de contraseña a través de una aproximación por fuerza bruta.
Vulnerabilidad en el componente rating en Moodle (CVE-2015-5268)
Gravedad:
MediaMedia
Publication date: 22/02/2016
Last modified:
01/12/2020
Descripción:
El componente rating en Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.10, 2.8.x en versiones anteriores a 2.8.8 y 2.9.x en versiones anteriores a 2.9.2 no maneja correctamente las comprobaciones de autorización basadas en grupos, lo que permite a usuarios remotos autenticados obtener información sensible mediante la lectura de un valor rating.
Vulnerabilidad en group/overview.php en Moodle (CVE-2015-5269)
Gravedad:
BajaBaja
Publication date: 22/02/2016
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de XSS en group/overview.php en Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.10, 2.8.x en versiones anteriores a 2.8.8 y 2.9.x en versiones anteriores a 2.9.2 permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios a través de una descripción de agrupamiento modificada.
Vulnerabilidad en admin/registration/register.php en Moodle (CVE-2015-5335)
Gravedad:
MediaMedia
Publication date: 22/02/2016
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de CSRF en admin/registration/register.php en Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.11, 2.8.x en versiones anteriores a 2.8.9 y 2.9.x en versiones anteriores a 2.9.3 permite a atacantes remotos secuestrar la autenticación de administradores en peticiones que envían estadísticas a una URL de hub arbitraria.
CVE-2015-5336
Gravedad:
BajaBaja
Publication date: 22/02/2016
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de XSS en el módulo survey en Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.11, 2.8.x en versiones anteriores a 2.8.9 y 2.9.x en versiones anteriores a 2.9.3 permiten a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios aprovechando el rol estudiante e introduciendo una respuesta de encuesta manipulada.
Vulnerabilidad en Moodle (CVE-2015-5337)
Gravedad:
MediaMedia
Publication date: 22/02/2016
Last modified:
01/12/2020
Descripción:
Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.11, 2.8.x en versiones anteriores a 2.8.9 y 2.9.x en versiones anteriores a 2.9.3 no restringe adecuadamente la disponibilidad de Flowplayer, lo que permite a atacantes remotos llevar a cabo ataques de secuencias de comandos en sitios cruzados (XSS) a través de un archivo .swf manipulado.
Vulnerabilidad en el módulo lesson en Moodle (CVE-2015-5338)
Gravedad:
MediaMedia
Publication date: 22/02/2016
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de CSRF en el módulo lesson en Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.11, 2.8.x en versiones anteriores a 2.8.9 y 2.9.x en versiones anteriores a 2.9.3 permiten a atacantes remotos secuestrar la autenticación de usuarios arbitrarios en peticiones a (1) mod/lesson/mediafile.php o (2) mod/lesson/view.php.
Vulnerabilidad en el servicio web core_enrol_get_enrolled_users en enrol/externallib.php en Moodle (CVE-2015-5339)
Gravedad:
MediaMedia
Publication date: 22/02/2016
Last modified:
01/12/2020
Descripción:
El servicio web core_enrol_get_enrolled_users en enrol/externallib.php en Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.11, 2.8.x en versiones anteriores a 2.8.9 y 2.9.x en versiones anteriores a 2.9.3 no implementa adecuadamente las restricciones de acceso basadas en grupo, lo que permite a usuarios remotos autenticados obtener información sensible de participante de curso a través de una petición a servicio web.
Vulnerabilidad en Moodle (CVE-2015-5340)
Gravedad:
MediaMedia
Publication date: 22/02/2016
Last modified:
01/12/2020
Descripción:
Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.11, 2.8.x en versiones anteriores a 2.8.9 y 2.9.x en versiones anteriores a 2.9.3 no considera la capacidad moodle/badges:viewbadges, lo que permite a usuarios remotos autenticados obtener información sensible de distintivo a través de una petición que involucra (1) badges/overview.php o (2) badges/view.php.
Vulnerabilidad en mod_scorm en Moodle (CVE-2015-5341)
Gravedad:
MediaMedia
Publication date: 22/02/2016
Last modified:
01/12/2020
Descripción:
mod_scorm en Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.11, 2.8.x en versiones anteriores a 2.8.9 y 2.9.x en versiones anteriores a 2.9.3 no maneja adecuadamente la disponibilidad de fechas, lo que permite a usuarios remotos autenticados eludir las restricciones destinadas al acceso y leer contenidos SCORM a través de vectores no especificados.
Vulnerabilidad en el módulo choice en Moodle (CVE-2015-5342)
Gravedad:
MediaMedia
Publication date: 22/02/2016
Last modified:
01/12/2020
Descripción:
El módulo choice en Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.11, 2.8.x en versiones anteriores a 2.8.9 y 2.9.x en versiones anteriores a 2.9.3 permite a usuarios remotos autenticados eludir las restricciones destinadas al acceso visitando una URL para añadir o eliminar respuestas en el estado cerrado.
Vulnerabilidad en Moodle (CVE-2015-0211)
Gravedad:
MediaMedia
Publication date: 01/06/2015
Last modified:
01/12/2020
Descripción:
mod/lti/ajax.php en Moodle hasta 2.5.9, 2.6.x anterior a 2.6.7, 2.7.x anterior a 2.7.4, y 2.8.x anterior a 2.8.2 no considera las capacidades moodle/course:manageactivities y mod/lti:addinstance antes de proceder con búsquedas de listas de herramientas registradas, lo que permite a usuarios remotos autenticados obtener información sensible a través de solicitudes al servicio LTI Ajax.
Vulnerabilidad en Moodle (CVE-2015-0212)
Gravedad:
BajaBaja
Publication date: 01/06/2015
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de XSS en course/pending.php en Moodle hasta 2.5.9, 2.6.x anterior a 2.6.7, 2.7.x anterior a 2.7.4, y 2.8.x anterior a 2.8.2 permite a usuarios remotos autenticados inyectar secuencias de comandos web arbitrarios o HTML a través de un resumen de curso manipulado.
Vulnerabilidad en el módulo Lesson en Moodle (CVE-2015-0216)
Gravedad:
BajaBaja
Publication date: 01/06/2015
Last modified:
01/12/2020
Descripción:
access.php en el módulo Lesson en Moodle 2.8.x anterior a 2.8.2 no configura el bit RISK_XSS para los graduadores, lo que permite a usuarios remotos autenticados realizar ataques de XSS a través de comentarios (feedback) manipulados sobre composiciones.
Vulnerabilidad en Moodle (CVE-2015-3174)
Gravedad:
BajaBaja
Publication date: 01/06/2015
Last modified:
01/12/2020
Descripción:
mod/quiz/db/access.php en Moodle hasta 2.5.9, 2.6.x anterior a 2.6.11, 2.7.x anterior a 2.7.8, y 2.8.x anterior a 2.8.6 no configura el bit RISK_XSS para graduadores, lo que permite a usuarios remotos autenticados realizar ataques de XSS a través de comentarios (feedback) manipulados del libro de notas durante la graduación manual de cuestionarios.
Vulnerabilidad en Moodle (CVE-2015-3175)
Gravedad:
MediaMedia
Publication date: 01/06/2015
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de la redirección abierta en Moodle hasta 2.5.9, 2.6.x anterior a 2.6.11, 2.7.x anterior a 2.7.8, y 2.8.x anterior a 2.8.6 permiten a atacantes remotos redirigir usuarios hacia sitios web arbitrarios y realizar ataques de phishing a través de vectores que involucran una página de error que vincula a una URL de una cabecera HTTP Referer.
Vulnerabilidad en Moodle (CVE-2015-3177)
Gravedad:
BajaBaja
Publication date: 01/06/2015
Last modified:
01/12/2020
Descripción:
Moodle 2.8.x anterior a 2.8.6 no considera la capacidad tool/monitor:subscribe antes de entrar suscripciones en reglas de la monitorización de eventos en todos los sitios, lo que permite a usuarios remotos autenticados obtener información sensible a través de una solicitud de suscripción.
Vulnerabilidad en el módulo Glossary en Moodle (CVE-2015-0213)
Gravedad:
MediaMedia
Publication date: 01/06/2015
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de CSRF en (1) editcategories.html y (2) editcategories.php en el módulo Glossary en Moodle hasta 2.5.9, 2.6.x anterior a 2.6.7, 2.7.x anterior a 2.7.4, y 2.8.x anterior a 2.8.2 permiten a atacantes remotos secuestrar la autenticación de victimas no especificadas.
Vulnerabilidad en Moodle (CVE-2015-0214)
Gravedad:
MediaMedia
Publication date: 01/06/2015
Last modified:
01/12/2020
Descripción:
message/externallib.php en Moodle hasta 2.5.9, 2.6.x anterior a 2.6.7, 2.7.x anterior a 2.7.4, y 2.8.x anterior a 2.8.2 permite a usuarios remotos autenticados evadir una configuración de la deshabilitación de mensajes a través de una solicitud de los servicios web, tal y como fue demostrado por una solicitud de búsqueda de personas.
Vulnerabilidad en Moodle (CVE-2015-0215)
Gravedad:
MediaMedia
Publication date: 01/06/2015
Last modified:
01/12/2020
Descripción:
calendar/externallib.php en Moodle hasta 2.5.9, 2.6.x anterior a 2.6.7, 2.7.x anterior a 2.7.4, y 2.8.x anterior a 2.8.2 permite a usuarios remotos autenticados obtener información sensible sobre eventos del calendario a través de una solicitud de los servicios web.
Vulnerabilidad en Moodle (CVE-2015-0217)
Gravedad:
MediaMedia
Publication date: 01/06/2015
Last modified:
01/12/2020
Descripción:
filter/mediaplugin/filter.php en Moodle hasta 2.5.9, 2.6.x anterior a 2.6.7, 2.7.x anterior a 2.7.4, y 2.8.x anterior a 2.8.2 permite a usuarios remotos autenticados causar una denegación de servicio (consumo de CPU o interrupción parcial) a través de una cadena manipulada que coincide con una expresión regular incorrecta.
Vulnerabilidad en Moodle (CVE-2015-0218)
Gravedad:
MediaMedia
Publication date: 01/06/2015
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de CSRF en auth/shibboleth/logout.php en Moodle hasta 2.5.9, 2.6.x anterior a 2.6.7, 2.7.x anterior a 2.7.4, y 2.8.x anterior a 2.8.2 permite a atacantes remotos secuestrar la autenticación de usuarios arbitrarios para solicitudes que provocan un cierre de sesión.
Vulnerabilidad en la función min_get_slash_argument en Moodle (CVE-2015-1493)
Gravedad:
MediaMedia
Publication date: 01/06/2015
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de salto de directorio en la función min_get_slash_argument en lib/configonlylib.php en Moodle hasta 2.5.9, 2.6.x anterior a 2.6.8, 2.7.x anterior a 2.7.5, y 2.8.x anterior a 2.8.3 permite a usuarios remotos autenticados leer ficheros arbitrarios a través de un .. (punto punto) en el parámetro file, tal y como fue demostrado mediante la lectura de secuencias de comandos PHP.
Vulnerabilidad en Moodle (CVE-2015-2266)
Gravedad:
MediaMedia
Publication date: 01/06/2015
Last modified:
01/12/2020
Descripción:
message/index.php en Moodle hasta 2.5.9, 2.6.x anterior a 2.6.9, 2.7.x anterior a 2.7.6, y 2.8.x anterior a 2.8.4 no considera la capacidad moodle/site:readallmessages antes de acceder a conversaciones arbitrarias, lo que permite a usuarios remotos autenticados obtener información sensible sobre contactos personales y la cuenta de mensajes no leídos a través de una URL modificada.
Vulnerabilidad en Moodle (CVE-2015-2267)
Gravedad:
MediaMedia
Publication date: 01/06/2015
Last modified:
01/12/2020
Descripción:
mdeploy.php en Moodle hasta 2.5.9, 2.6.x anterior a 2.6.9, 2.7.x anterior a 2.7.6, y 2.8.x anterior a 2.8.4 permite a usuarios remotos autenticados evadir las restricciones de acceso y extraer archivos a directorios arbitrarios a través de un valor dataroot manipulado.
Vulnerabilidad en Moodle (CVE-2015-2268)
Gravedad:
MediaMedia
Publication date: 01/06/2015
Last modified:
01/12/2020
Descripción:
filter/urltolink/filter.php en Moodle hasta 2.5.9, 2.6.x anterior a 2.6.9, 2.7.x anterior a 2.7.6, y 2.8.x anterior a 2.8.4 permite a usuarios remotos autenticados causar una denegación de servicio (consumo de CPU o interrupción parcial) a través de una cadena manipulada que coincide con una expresión regular incorrecta.
Vulnerabilidad en Moodle (CVE-2015-2269)
Gravedad:
BajaBaja
Publication date: 01/06/2015
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de XSS en lib/javascript-static.js en Moodle hasta 2.5.9, 2.6.x anterior a 2.6.9, 2.7.x anterior a 2.7.6, y 2.8.x anterior a 2.8.4 permiten a usuarios remotos autenticados inyectar secuencias de comandos web arbitrarios o HTML a través de un atributo (1) alt o (2) title en un elemento IMG.
Vulnerabilidad en Moodle (CVE-2015-2270)
Gravedad:
MediaMedia
Publication date: 01/06/2015
Last modified:
01/12/2020
Descripción:
lib/moodlelib.php en Moodle hasta 2.5.9, 2.6.x anterior a 2.6.9, 2.7.x anterior a 2.7.6, y 2.8.x anterior a 2.8.4, cuando el tema utiliza la característica de regiones de bloques, establece el estado del curso en un punto incorrecto en el proceso de la validación del inicio de sesión, lo que permite a atacantes remotos obtener información sensible de cursos a través de vectores no especificados.
Vulnerabilidad en Moodle (CVE-2015-2271)
Gravedad:
MediaMedia
Publication date: 01/06/2015
Last modified:
01/12/2020
Descripción:
tag/user.php en Moodle hasta 2.5.9, 2.6.x anterior a 2.6.9, 2.7.x anterior a 2.7.6, y 2.8.x anterior a 2.8.4 no considera la capacidad moodle/tag:flag antes de proceder con una acción flaginappropriate, lo que permite a usuarios remotos autenticados evadir las restricciones de acceso a través de la característica 'indicador como no apropiado (Flag as inappropriate)'.
Vulnerabilidad en Moodle (CVE-2015-2272)
Gravedad:
MediaMedia
Publication date: 01/06/2015
Last modified:
01/12/2020
Descripción:
login/token.php en Moodle hasta 2.5.9, 2.6.x anterior a 2.6.9, 2.7.x anterior a 2.7.6, y 2.8.x anterior a 2.8.4 permite a usuarios remotos autenticados evadir un requisito de cambio de contraseña forzado mediante la creación de un token de servicios web.
Vulnerabilidad en Moodle (CVE-2015-2273)
Gravedad:
BajaBaja
Publication date: 01/06/2015
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de XSS en mod/quiz/report/statistics/statistics_question_table.php en Moodle hasta 2.5.9, 2.6.x anterior a 2.6.9, 2.7.x anterior a 2.7.6, y 2.8.x anterior a 2.8.4 permite a usuarios remotos autenticados inyectar secuencias de comandos web arbitrarios o HTML mediante el aprovechamiento del role de estudiante para una respuesta de cuestionario manipulada.
Vulnerabilidad en Moodle (CVE-2015-3176)
Gravedad:
MediaMedia
Publication date: 01/06/2015
Last modified:
01/12/2020
Descripción:
La característica de la confirmación de cuentas en login/confirm.php en Moodle hasta 2.5.9, 2.6.x anterior a 2.6.11, 2.7.x anterior a 2.7.8, y 2.8.x anterior a 2.8.6 permite a atacantes remotos obtener información sensible de nombres completos mediante el intento de autoregistrarse.
Vulnerabilidad en la función external_format_text en Moodle (CVE-2015-3178)
Gravedad:
BajaBaja
Publication date: 01/06/2015
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de XSS en la función external_format_text en lib/externallib.php en Moodle hasta 2.5.9, 2.6.x anterior a 2.6.11, 2.7.x anterior a 2.7.8, y 2.8.x anterior a 2.8.6 permite a usuarios remotos autenticados inyectar secuencias de comandos web arbitrarios o HTML en una aplicación externa a través de una cadena manipulada que es visible para los servicios web.
Vulnerabilidad en Moodle (CVE-2015-3179)
Gravedad:
BajaBaja
Publication date: 01/06/2015
Last modified:
01/12/2020
Descripción:
login/confirm.php en Moodle hasta 2.5.9, 2.6.x anterior a 2.6.11, 2.7.x anterior a 2.7.8, y 2.8.x anterior a 2.8.6 permite a usuarios remotos autenticados evadir las restricciones de inicio de sesión mediante el aprovechamiento del acceso a una cuenta suspendida no confirmada.
Vulnerabilidad en Moodle (CVE-2015-3180)
Gravedad:
MediaMedia
Publication date: 01/06/2015
Last modified:
01/12/2020
Descripción:
lib/navigationlib.php en Moodle hasta 2.5.9, 2.6.x anterior a 2.6.11, 2.7.x anterior a 2.7.8, y 2.8.x anterior a 2.8.6 permite a usuarios remotos autenticados obtener información sensible de la estructura de cursos mediante el aprovechamiento del acceso a una cuenta de estudiante con una matrícula suspendida.
Vulnerabilidad en Moodle (CVE-2015-3181)
Gravedad:
MediaMedia
Publication date: 01/06/2015
Last modified:
01/12/2020
Descripción:
files/externallib.php en Moodle hasta 2.5.9, 2.6.x anterior a 2.6.11, 2.7.x anterior a 2.7.8, y 2.8.x anterior a 2.8.6 no considera la capacidad moodle/user:manageownfiles antes de aprobar una subida de ficheros privados, lo que permite a usuarios remotoa autenticados evadir las restricciones de la gestión de ficheros mediante el uso de servicios web para realizar subidas después de que esta capacidad haya sido revocada.
Vulnerabilidad en mod/feedback/mapcourse.php en Moodle (CVE-2014-7830)
Gravedad:
BajaBaja
Publication date: 24/11/2014
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de XSS en mod/feedback/mapcourse.php en el módulo Feedback en Moodle hasta 2.4.11, 2.5.x anterior a 2.5.9, 2.6.x anterior a 2.6.6, y 2.7.x anterior a 2.7.3 permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios mediante el aprovechamiento de la funcionalidad mod/feedback:mapcourse para proporcionar un parámetro searchcourse.
Vulnerabilidad en lib/classes/grades_external.php en Moodle (CVE-2014-7831)
Gravedad:
MediaMedia
Publication date: 24/11/2014
Last modified:
01/12/2020
Descripción:
lib/classes/grades_external.php en Moodle 2.7.x anterior a 2.7.3 no considera la funcionalidad moodle/grade:viewhidden antes de mostrar notas escondidas, lo que permite a usuarios remotos autenticados obtener información sensible mediante el aprovechamiento de la lista de estudiantes para acceder al servicio web get_grades.
Vulnerabilidad en mod/lti/launch.php en Moodle (CVE-2014-7832)
Gravedad:
MediaMedia
Publication date: 24/11/2014
Last modified:
01/12/2020
Descripción:
mod/lti/launch.php en el módulo LTI en Moodle hasta 2.4.11, 2.5.x anterior a 2.5.9, 2.6.x anterior a 2.6.6, y 2.7.x anterior a 2.7.3 realiza el control de acceso a nivel de curso en lugar de a nivel de actividad, lo que permite a usuarios remotos autenticados evadir el requisito de la funcionalidad mod/lti:view mediante la visualización de una instancia de la actividad.
Vulnerabilidad en mod/forum/externallib.php en Moodle (CVE-2014-7834)
Gravedad:
MediaMedia
Publication date: 24/11/2014
Last modified:
01/12/2020
Descripción:
mod/forum/externallib.php en Moodle 2.6.x anterior a 2.6.6 y 2.7.x anterior a 2.7.3 no verifica permisos de grupos, lo que permite a usuarios remotos autenticados acceder a un foro a través del servicio web forum_get_discussions.
Vulnerabilidad en la función generate_password en Moodle (CVE-2014-7845)
Gravedad:
AltaAlta
Publication date: 24/11/2014
Last modified:
01/12/2020
Descripción:
La función generate_password en Moodle hasta 2.4.11, 2.5.x anterior a 2.5.9, 2.6.x anterior a 2.6.6, y 2.7.x anterior a 2.7.3 no proporciona un número suficiente de contraseñas temporales posibles, lo que permite a atacantes remotos obtener el acceso a través de un ataque de fuerza bruta.
Vulnerabilidad en tag/tag_autocomplete.php en Moodle (CVE-2014-7846)
Gravedad:
MediaMedia
Publication date: 24/11/2014
Last modified:
01/12/2020
Descripción:
tag/tag_autocomplete.php en Moodle hasta 2.4.11, 2.5.x anterior a 2.5.9, 2.6.x anterior a 2.6.6, y 2.7.x anterior a 2.7.3 no considera la funcionalidad moodle/tag:edit antes de añadir una etiqueta, lo que permite a usuarios remotos autenticados evadir las restricciones de acceso a través de una solicitud AJAX.
Vulnerabilidad en iplookup/index.php en Moodle (CVE-2014-7847)
Gravedad:
MediaMedia
Publication date: 24/11/2014
Last modified:
01/12/2020
Descripción:
iplookup/index.php en Moodle hasta 2.4.11, 2.5.x anterior a 2.5.9, 2.6.x anterior a 2.6.6, y 2.7.x anterior a 2.7.3 permite a atacantes remotos causar una denegación de servicio (consumo de recursos) mediante la provocación del cálculo de una latitud y longitud estimadas para una dirección IP.
Vulnerabilidad en lib/setup.php en Moodle (CVE-2014-9059)
Gravedad:
MediaMedia
Publication date: 24/11/2014
Last modified:
01/12/2020
Descripción:
lib/setup.php en Moodle hasta 2.4.11, 2.5.x anterior a 2.5.9, 2.6.x anterior a 2.6.6, y 2.7.x anterior a 2.7.3 no proporciona información charset en cabeceras HTTP, lo que podría permitir a atacantes remotos realizar ataques de XSS a través de caracteres UTF-7 durante la interacción con secuencias de comandos AJAX.
Vulnerabilidad en mod/data/edit.php en Moodle (CVE-2014-7833)
Gravedad:
MediaMedia
Publication date: 24/11/2014
Last modified:
01/12/2020
Descripción:
mod/data/edit.php en Moodle hasta 2.4.11, 2.5.x anterior a 2.5.9, 2.6.x anterior a 2.6.6, y 2.7.x anterior a 2.7.3 configura cierto ID de grupo a cero cuando hay un cambio de entrada en la base de datos, lo que permite a usuarios remotos autenticados obtener información sensible mediante el acceso a la base de datos después de que lo edite un profesor.
Vulnerabilidad en webservice/upload.php en Moodle (CVE-2014-7835)
Gravedad:
BajaBaja
Publication date: 24/11/2014
Last modified:
01/12/2020
Descripción:
webservice/upload.php en Moodle 2.6.x anterior a 2.6.6 y 2.7.x anterior a 2.7.3 no asegura que una subida de ficheros es para una área privada o de borrador, lo que permite a usuarios remotos autenticados subir ficheros que contienen JavaScript, y como consecuencia realizar ataques de XSS, al especificar la área de la imagen de perfil.
Vulnerabilidad en el módulo LTI en Moodle (CVE-2014-7836)
Gravedad:
MediaMedia
Publication date: 24/11/2014
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de CSRF en el módulo LTI en Moodle hasta 2.4.11, 2.5.x anterior a 2.5.9, 2.6.x anterior a 2.6.6, y 2.7.x anterior a 2.7.3 permiten a atacantes remotos secuestrar la autenticación de usuarios arbitrarios para una solicitud (1) mod/lti/request_tool.php o (2) mod/lti/instructor_edit_tool_type.php.
Vulnerabilidad en mod/wiki/admin.php en Moodle (CVE-2014-7837)
Gravedad:
MediaMedia
Publication date: 24/11/2014
Last modified:
01/12/2020
Descripción:
mod/wiki/admin.php en Moodle hasta 2.4.11, 2.5.x anterior a 2.5.9, 2.6.x anterior a 2.6.6, y 2.7.x anterior a 2.7.3 permite a usuarios remotos autenticados eliminar páginas wiki mediante el aprovechamiento del acceso a eliminación dentro de un subwiki diferente.
Vulnerabilidad en el módulo Forum en Moodle (CVE-2014-7838)
Gravedad:
MediaMedia
Publication date: 24/11/2014
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de CSRF en el módulo Forum en Moodle hasta 2.4.11, 2.5.x anterior a 2.5.9, 2.6.x anterior a 2.6.6, y 2.7.x anterior a 2.7.3 permiten a atacantes remotos secuestrar la autenticación de usuarios arbitrarios para solicitudes que fijan una preferencia de seguimiento dentro de (1) mod/forum/deprecatedlib.php, (2) mod/forum/forum.js, (3) mod/forum/index.php, o (4) mod/forum/lib.php.
Vulnerabilidad en lib/phpunit/bootstrap.php en Moodle (CVE-2014-7848)
Gravedad:
MediaMedia
Publication date: 24/11/2014
Last modified:
01/12/2020
Descripción:
lib/phpunit/bootstrap.php en Moodle 2.6.x anterior a 2.6.6 y 2.7.x anterior a 2.7.3 permite a atacantes remotos obtener información sensible a través de una solicitud directa, lo que revela la ruta completa en un mensaje de error.
Vulnerabilidad en el módulo LTI en Moodle (CVE-2014-9060)
Gravedad:
MediaMedia
Publication date: 24/11/2014
Last modified:
01/12/2020
Descripción:
El módulo LTI en Moodle hasta 2.4.11, 2.5.x anterior a 2.5.9, 2.6.x anterior a 2.6.6, y 2.7.x anterior a 2.7.3 no restringe debidamente los parámetros utilizados en una URL de retorno, lo que permite a atacantes remotos provocar la generación de mensajes arbitrarios a través de una URL modificada, relacionado con mod/lti/locallib.php and mod/lti/return.php.
Vulnerabilidad en mod/forum/lib.php en Moodle (CVE-2014-3617)
Gravedad:
MediaMedia
Publication date: 15/09/2014
Last modified:
01/12/2020
Descripción:
La función forum_print_latest_discussions en mod/forum/lib.php en Moodle hasta 2.4.11, 2.5.x anterior a 2.5.8, 2.6.x anterior a 2.6.5, y 2.7.x anterior a 2.7.2 permite a usuarios remotos autenticados evadir los requisitos individuales de 'answer-posting' sin la capacidad mod/forum:viewqandawithoutposting, y descubrir el nombre de usuario de un autor, mediante el aprovechamiento del rol estudiante y visitar el foro Q&A.
Vulnerabilidad en el componente Repositories en Moodle (CVE-2014-3541)
Gravedad:
AltaAlta
Publication date: 29/07/2014
Last modified:
01/12/2020
Descripción:
El componente Repositories en Moodle hasta 2.3.11, 2.4.x anterior a 2.4.11, 2.5.x anterior a 2.5.7, 2.6.x anterior a 2.6.4 y 2.7.x anterior a 2.7.1 permite a atacantes remotos realizar ataques de inyección de objetos PHP y ejecutar código arbitrario a través de datos serializados asociados con un complemento.
Vulnerabilidad en mod/lti/service.php en Moodle (CVE-2014-3542)
Gravedad:
MediaMedia
Publication date: 29/07/2014
Last modified:
01/12/2020
Descripción:
mod/lti/service.php en Moodle hasta 2.3.11, 2.4.x anterior a 2.4.11, 2.5.x anterior a 2.5.7, 2.6.x anterior a 2.6.4 y 2.7.x anterior a 2.7.1 permite a atacantes remotos leer ficheros arbitrarios a través de una declaración de entidad externa XML en conjunto con una referencia de entidad, relacionado con un problema de entidad externa XML (XXE).
Vulnerabilidad en mod/imscp/locallib.php en Moodle (CVE-2014-3543)
Gravedad:
MediaMedia
Publication date: 29/07/2014
Last modified:
01/12/2020
Descripción:
mod/imscp/locallib.php en Moodle hasta 2.3.11, 2.4.x anterior a 2.4.11, 2.5.x anterior a 2.5.7, 2.6.x anterior a 2.6.4 y 2.7.x anterior a 2.7.1 permite a atacantes remotos leer ficheros arbitrarios a través de un paquete con un fichero de manifiesto que contiene una declaración de entidad externa XML en conjunto con una referencia de entidad, relacionado con un problema de entidad externa XML (XXE) que afecta recursos IMSCP y el formato IMSCC.
Vulnerabilidad en user/profile.php en Moodle (CVE-2014-3544)
Gravedad:
BajaBaja
Publication date: 29/07/2014
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de XSS en user/profile.php en Moodle hasta 2.3.11, 2.4.x anterior a 2.4.11, 2.5.x anterior a 2.5.7, 2.6.x anterior a 2.6.4 y 2.7.x anterior a 2.7.1 permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios a través del campo del perfil de ID de Skype.
Vulnerabilidad en Moodle (CVE-2014-3545)
Gravedad:
MediaMedia
Publication date: 29/07/2014
Last modified:
01/12/2020
Descripción:
Moodle hasta 2.3.11, 2.4.x anterior a 2.4.11, 2.5.x anterior a 2.5.7, 2.6.x anterior a 2.6.4 y 2.7.x anterior a 2.7.1 permite a usuarios remotos autenticados ejecutar código arbitrario a través de una pregunta calculada en un cuestionario.
Vulnerabilidad en Moodle (CVE-2014-3546)
Gravedad:
MediaMedia
Publication date: 29/07/2014
Last modified:
01/12/2020
Descripción:
Moodle hasta 2.3.11, 2.4.x anterior a 2.4.11, 2.5.x anterior a 2.5.7, 2.6.x anterior a 2.6.4 y 2.7.x anterior a 2.7.1 no fuerza ciertos requisitos de capacidad en (1) notes/index.php y (2) user/edit.php, lo que permite a atacantes remotos obtener información potencialmente sensible de nombres de usuarios y cursos a través de una URL modificado.
Vulnerabilidad en badges/renderer.php en Moodle (CVE-2014-3547)
Gravedad:
MediaMedia
Publication date: 29/07/2014
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de XSS en badges/renderer.php en Moodle 2.5.x anterior a 2.5.7, 2.6.x anterior a 2.6.4 y 2.7.x anterior a 2.7.1 permiten a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de un badge externo.
Vulnerabilidad en Moodle (CVE-2014-3548)
Gravedad:
MediaMedia
Publication date: 29/07/2014
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de XSS en Moodle through 2.3.11, 2.4.x anterior a 2.4.11, 2.5.x anterior a 2.5.7, 2.6.x anterior a 2.6.4 y 2.7.x anterior a 2.7.1 permiten a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de vectores que provocan un dialogo de excepciones AJAX .
Vulnerabilidad en la función get_description en Moodle (CVE-2014-3549)
Gravedad:
MediaMedia
Publication date: 29/07/2014
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de XSS en la función get_description en lib/classes/event/user_login_failed.php en Moodle 2.7.x anterior a 2.7.1 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de un nombre de usuario manipulado que se maneja indebidamente durante el registro de un intento inválido de inicio de sesión.
Vulnerabilidad en admin/tool/task/scheduledtasks.php en Moodle (CVE-2014-3550)
Gravedad:
MediaMedia
Publication date: 29/07/2014
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de XSS en admin/tool/task/scheduledtasks.php en Moodle 2.7.x anterior a 2.7.1 permiten a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de vectores que provocan un (1) error manipulado o (2) mensaje de éxito manipulado para una tarea programada.
Vulnerabilidad en la implementación advanced-grading en Moodle (CVE-2014-3551)
Gravedad:
BajaBaja
Publication date: 29/07/2014
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de XSS en la implementación advanced-grading en Moodle hasta 2.3.11, 2.4.x anterior a 2.4.11, 2.5.x anterior a 2.5.7, 2.6.x anterior a 2.6.4 y 2.7.x anterior a 2.7.1 permiten a usuarios remotos autenticados inyectar secuencias de comandos web o HTML arbitrarios a través de un (1) campo qualification manipulado o (2) campo rating manipulado en un epígrafe.
Vulnerabilidad en el plugin Shibboleth Authentication en Moodle (CVE-2014-3552)
Gravedad:
MediaMedia
Publication date: 29/07/2014
Last modified:
01/12/2020
Descripción:
El plugin Shibboleth Authentication en auth/shibboleth/index.php en Moodle hasta 2.3.11, 2.4.x anterior a 2.4.11 y 2.5.x anterior a 2.5.7 no comprueba si un ID de sesión está vacío, lo que permite a usuarios remotos autenticados secuestrar sesiones a través de interacciones manipuladas de plugins.
Vulnerabilidad en mod/forum/classes/post_form.php en Moodle (CVE-2014-3553)
Gravedad:
MediaMedia
Publication date: 29/07/2014
Last modified:
01/12/2020
Descripción:
mod/forum/classes/post_form.php en Moodle hasta 2.3.11, 2.4.x anterior a 2.4.11, 2.5.x anterior a 2.5.7, 2.6.x anterior a 2.6.4 y 2.7.x anterior a 2.7.1 no fuerza el requisito de capacidad moodle/site:accessallgroups antes de seguir con una publicación a todos los grupos, lo que permite a usuarios remotos autenticados evadir las restricciones de acceso mediante el aprovechamiento de dos o más pertenencias a grupos.
Vulnerabilidad en mod/assign/locallib.php en Moodle (CVE-2014-0213)
Gravedad:
MediaMedia
Publication date: 26/05/2014
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de CSRF en mod/assign/locallib.php en el subsistema Assignment en Moodle hasta 2.3.11, 2.4.x anterior a 2.4.10, 2.5.x anterior a 2.5.6 y 2.6.x anterior a 2.6.3 permiten a atacantes remotos secuestrar la autenticación de profesores para solicitudes de calificación rápida.
Vulnerabilidad en enrol/index.php en Moodle (CVE-2014-0217)
Gravedad:
MediaMedia
Publication date: 26/05/2014
Last modified:
01/12/2020
Descripción:
enrol/index.php en Moodle 2.6.x anterior a 2.6.3 no comprueba para la funcionalidad moodle/course:viewhiddencourses antes de listar cursos escondidos, lo que permite a atacantes remotos obtener información sensible de nombres y resúmenes sobre estos cursos mediante el aprovechamiento del rol de invitado y la visita a una URL manipulada.
Vulnerabilidad en login/token.php en Moodle (CVE-2014-0214)
Gravedad:
MediaMedia
Publication date: 26/05/2014
Last modified:
01/12/2020
Descripción:
login/token.php en Moodle hasta 2.3.11, 2.4.x anterior a 2.4.10, 2.5.x anterior a 2.5.6 y 2.6.x anterior a 2.6.3 crea un token de servicio web MoodleMobile con una vida infinita, lo que facilita a atacantes remotos secuestrar sesiones a través de un ataque de fuerza bruta.
Vulnerabilidad en la implementación de calificación a ciegas en Moodle (CVE-2014-0215)
Gravedad:
MediaMedia
Publication date: 26/05/2014
Last modified:
01/12/2020
Descripción:
La implementación de calificación a ciegas en Moodle hasta 2.3.11, 2.4.x anterior a 2.4.10, 2.5.x anterior a 2.5.6 y 2.6.x anterior a 2.6.3 permite a usuarios remotos autenticados revelar la identidad de estudiantes mediante (1) el uso de un lector de pantalla o (2) la lectura de la fuente HTML.
Vulnerabilidad en la implementación My Home en Moodle (CVE-2014-0216)
Gravedad:
MediaMedia
Publication date: 26/05/2014
Last modified:
01/12/2020
Descripción:
La implementación My Home en la función block_html_pluginfile en blocks/html/lib.php en Moodle hasta 2.3.11, 2.4.x anterior a 2.4.10, 2.5.x anterior a 2.5.6 y 2.6.x anterior a 2.6.3 no restringe debidamente acceso a archivos, lo que permite a atacantes remotos obtener información sensible mediante la visita a un bloque HTML.
Vulnerabilidad en el repositorio de URL de descarga en Moodle (CVE-2014-0218)
Gravedad:
MediaMedia
Publication date: 26/05/2014
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de XSS en el repositorio de URL de descarga en repository/url/lib.php en Moodle hasta 2.3.11, 2.4.x hasta 2.4.10, 2.5.x anterior a 2.5.6 y 2.6.x anterior a 2.6.3 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de vectores no especificados.
Vulnerabilidad en Moodle (CVE-2014-0122)
Gravedad:
MediaMedia
Publication date: 24/03/2014
Last modified:
01/12/2020
Descripción:
mod/chat/chat_ajax.php en Moodle hasta 2.3.11, 2.4.x anterior a 2.4.9, 2.5.x anterior a 2.5.5 y 2.6.x anterior a 2.6.2 no comprueba debidamente la funcionalidad mod/chat:chat durante sesiones de chat, lo que permite a usuarios remotos autenticados evadir restricciones de acceso en circunstancias oportunistas permaneciendo en una sesión de chat después de una eliminación de funcionalidad intrasesión por un administrador.
Vulnerabilidad en Moodle (CVE-2014-0123)
Gravedad:
MediaMedia
Publication date: 24/03/2014
Last modified:
01/12/2020
Descripción:
El subsistema wiki en Moodle hasta 2.3.11, 2.4.x anterior a 2.4.9, 2.5.x anterior a 2.5.5 y 2.6.x anterior a 2.6.2 no restringe debidamente acceso (1) visualizar y (2) editar, lo que permite a usuarios remotos autenticados realizar operaciones wiki mediante el aprovechamiento del rol de estudiante y el uso de bloque "Recent Activity" de actividad reciente para alcanzar el wiki individual de un estudiante arbitrario.
Vulnerabilidad en Moodle (CVE-2014-0124)
Gravedad:
MediaMedia
Publication date: 24/03/2014
Last modified:
01/12/2020
Descripción:
Las implementaciones de informes de identidad en mod/forum/renderer.php y mod/quiz/override_form.php en Moodle hasta 2.3.11, 2.4.x anterior a 2.4.9, 2.5.x anterior a 2.5.5 y 2.6.x anterior a 2.6.2 no restringen debidamente la visualización de direcciones de email, lo que permite a usuarios remotos autenticados obtener información sensible mediante el uso del módulo (1) Forum o (2) Quiz.
Vulnerabilidad en Moodle (CVE-2014-0125)
Gravedad:
MediaMedia
Publication date: 24/03/2014
Last modified:
01/12/2020
Descripción:
repository/alfresco/lib.php en Moodle hasta 2.3.11, 2.4.x anterior a 2.4.9, 2.5.x anterior a 2.5.5 y 2.6.x anterior a 2.6.2 sitúa una clave de sesión en una URL, lo que permite a atacantes remotos evadir restricciones de archivo del repositorio Alfresco mediante la suplantación del dueño de un archivo.
Vulnerabilidad en Moodle (CVE-2014-0126)
Gravedad:
MediaMedia
Publication date: 24/03/2014
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de CSRF en enrol/imsenterprise/importnow.php en Moodle hasta 2.3.11, 2.4.x anterior a 2.4.9, 2.5.x anterior a 2.5.5 y 2.6.x anterior a 2.6.2 permite a atacantes remotos secuestrar la autenticación de administradores para solicitudes que importan un archivo IMS Enterprise.
Vulnerabilidad en Moodle (CVE-2014-0127)
Gravedad:
MediaMedia
Publication date: 24/03/2014
Last modified:
01/12/2020
Descripción:
La implementación time-validation en (1) mod/feedback/complete.php y (2) mod/feedback/complete_guest.php en Moodle hasta 2.3.11, 2.4.x anterior a 2.4.9, 2.5.x anterior a 2.5.5 y 2.6.x anterior a 2.6.2 permite a usuarios remotos autenticados evadir restricciones sobre iniciar una actividad Feedback mediante la selección de un tiempo no disponible.
Vulnerabilidad en Moodle (CVE-2014-0129)
Gravedad:
MediaMedia
Publication date: 24/03/2014
Last modified:
01/12/2020
Descripción:
badges/mybadges.php en Moodle 2.5.x anterior a 2.5.5 y 2.6.x anterior a 2.6.2 no rastrea debidamente el usuario a quien un badge fue entregado, lo que permite a usuarios remotos autenticados modificar la visibilidad de un badge arbitrario a través de vectores no especificados.
Vulnerabilidad en Moodle (CVE-2014-2572)
Gravedad:
MediaMedia
Publication date: 24/03/2014
Last modified:
01/12/2020
Descripción:
mod/assign/externallib.php en Moodle 2.6.x anterior a 2.6.2 no maneja debidamente la asignación de parámetros web-service, lo que podría permitir a usuarios remotos autenticados modificar metadatos de un grado a través de vectores no especificados.
Vulnerabilidad en Flowplayer Flash (CVE-2013-7341)
Gravedad:
MediaMedia
Publication date: 24/03/2014
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de XSS en Flowplayer Flash anterior a 3.2.17, utilizado en Moodle hasta 2.3.11, 2.4.x anterior a 2.4.9, 2.5.x anterior a 2.5.5 y 2.6.x anterior a 2.6.2, permiten a atacantes remotos inyectar script Web o HTML arbitrarios (1) proporcionando un playerId manipulado o (2) referenciando un dominio externo, un problema relacionado con CVE-2013-7342.
Vulnerabilidad en Moodle (CVE-2014-2571)
Gravedad:
BajaBaja
Publication date: 24/03/2014
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de XSS en la función quiz_question_tostring en mod/quiz/editlib.php en Moodle hasta 2.3.11, 2.4.x anterior a 2.4.9, 2.5.x anterior a 2.5.5 y 2.6.x anterior a 2.6.2 permite a usuarios remotos autenticados inyectar script Web o HTML arbitrarios a través de una pregunta de cuestionario.
Vulnerabilidad en Moodle (CVE-2014-0008)
Gravedad:
MediaMedia
Publication date: 20/01/2014
Last modified:
01/12/2020
Descripción:
lib/adminlib.php en Moodle hasta la versión 2.3.11, 2.4.x anterior a la versión 2.4.8, 2.5.x anterior a 2.5.4, y 2.6.x anterior a la versión 2.6.1 registra contraseñas en texto plano, lo que permite a administradores remotos autenticados obtener información sensible mediante la lectura de Config Changes Report.
Vulnerabilidad en Moodle (CVE-2014-0009)
Gravedad:
MediaMedia
Publication date: 20/01/2014
Last modified:
01/12/2020
Descripción:
course/loginas.php en Moodle hasta 2.2.11, 2.3.x antes de 2.3.11, 2.4.x antes de 2.4.8, 2.5.x antes de 2.5.4 y 2.6.x antes de 2.6.1 no fuerza el reuiisto moodle/site:accessallgroups para los usuarios de fuera del grupo en una configuración SEPARATEGROUPS, que permite a los usuarios remotos autenticados para realizar acciones "login como" mediante una petición directa.
Vulnerabilidad en Moodle (CVE-2014-0010)
Gravedad:
MediaMedia
Publication date: 20/01/2014
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de CSRF en user/profile/index.php en Moodle hasta la versión 2.2.11, 2.3.x anterior a 2.3.11, 2.4.x anterior a la versión 2.4.8, 2.5.x anterior a 2.5.4, y 2.6.x anterior a la versión 2.6.1 permite a atacantes remotos secuestrar la autenticación de administradores para peticiones que eliminen (1) categorías o (2) campos.
Vulnerabilidad en Moodle (CVE-2013-4522)
Gravedad:
MediaMedia
Publication date: 26/11/2013
Last modified:
01/12/2020
Descripción:
lib/filelib.php en Moodle hasta la versión 2.2.11, 2.3.x anterior a 2.3.10, 2.4.x anterior a la versión 2.4.7, y 2.5.x anterior a 2.5.3 no envía las cabeceras HTTP "Cache-Control: private", lo que permite a atacantes remotos obtener información sensible mediante la petición de un archivo que ha sido previamente recuperado por la caché del servidor proxy.
Vulnerabilidad en Moodle (CVE-2013-4523)
Gravedad:
BajaBaja
Publication date: 26/11/2013
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de XSS en message/lib.php en Moodle hasta la versión 2.2.11, 2.3.x anterior a la versión 2.3.10, 2.4.x anterior a 2.4.7, y 2.5.x anterior a la versión 2.5.3 permite a usuarios remotos autenticados inyectar script web o HTML arbitrario a través de un mensaje manipulado.
Vulnerabilidad en Moodle (CVE-2013-4524)
Gravedad:
MediaMedia
Publication date: 26/11/2013
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de recorrido de directorio en repository/filesystem/lib.php de Moodle hasta la versión 2.2.11, 2.3.x anterior a la 2.3.10, 2.4.x anterior a la versión 2.4.7, y 2.5.x anterior a 2.5.3 permite a usuarios remotos autenticados leer archivos arbitrarios a través de .. (punto punto) en la ruta.
Vulnerabilidad en Moodle (CVE-2013-4525)
Gravedad:
BajaBaja
Publication date: 26/11/2013
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de XSS en mod/quiz/report/responses/responses_table.php en Moodle hasta la versión 2.2.11, 2.3.x anterior a 2.3.10, 2.4.x anterior a la versión 2.4.7, y 2.5.x anterior a 2.5.3 permite a usuarios remotos autenticados inyectar script web o HTML arbitrario a través de una respuesta hacia una pregunta de cuestionario basada en texto.
Vulnerabilidad en Moodle (CVE-2013-3630)
Gravedad:
MediaMedia
Publication date: 31/10/2013
Last modified:
12/10/2021
Descripción:
Moodle a través de 2.5.2 permite a los administradores remotos autenticados ejecutar programas arbitrarios mediante la configuración de la ruta aspell y luego desencadenar una operación de corrección ortográfica en el editor TinyMCE.
Vulnerabilidad en Amazon S3 library en Moodle (CVE-2012-6087)
Gravedad:
MediaMedia
Publication date: 16/09/2013
Last modified:
01/12/2020
Descripción:
repository/s3/S3.php en Amazon S3 library en Moodle de la 2.2.11, 2.3.x anterior a 2.3.9, 2.4.x anterior a 2.4.6, y 2.5.x anterior a 2.5.2, no verifica que el nombre de host coincida con el nombre de dominio en el Common Name (CN) o el campo subjectAltName del certificado X.509, lo que permite a atacantes "man-in-the-middle" suplantar a los servidores SSL a través de un certificado válido de su elección, relacionado con un valor incorrecto de CURLOPT_SSL_VERIFYHOST.
Vulnerabilidad en Moodle (CVE-2013-4313)
Gravedad:
AltaAlta
Publication date: 16/09/2013
Last modified:
01/12/2020
Descripción:
Moodle desde 2.2.11, 2.3.x anterior a 2.3.9, 2.4.x anterior a 2.4.6, y 2.5.x anterior a 2.5.2 no previene el uso de caracteres "\0" en cadenas de busqueda lo que podría permitir a atacantes remotos dirigir un ataque de inyección SQL contra Microsoft SQL Server a través de una cadena manipulada
Vulnerabilidad en Moodle (CVE-2013-4341)
Gravedad:
MediaMedia
Publication date: 16/09/2013
Last modified:
12/10/2021
Descripción:
Múltiples vulnerabilidades de XSS en Moodle de la versión 2.2.11, 2.3.x anterior a 2.3.9, 2.4.x anterior a 2.4.6, y 2.5.x anterior a 2.5.2, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través de un enlace al blog dentro de un feed RSS.
Vulnerabilidad en Moodle (CVE-2013-5674)
Gravedad:
AltaAlta
Publication date: 16/09/2013
Last modified:
01/12/2020
Descripción:
badges/external.php en Moodle 2.5.x anteriores a 2.5.2 no maneja adecuadamente un objeto obtenido deserializando una descripción de badge externo, lo que permite a un atacante remoto realizar ataques de inyección de objeto en PHP a través de vectores no especificados, como fué demostrado sobreescribiendo el valor del parámetro userid.
CVE-2013-2242
Gravedad:
MediaMedia
Publication date: 29/07/2013
Last modified:
01/12/2020
Descripción:
mod/chat/gui_sockets/index.php en Moodle desde 2.1.10, 2.2.x anterior a 2.2.11, 2.3.x anterior a 2.3.8, 2.4.x anterior a 2.4.5, y 2.5.x anterior a 2.5.1, no considera la capacidad mod/chat:chat antes de la autorización del chat en daemon-mode, lo que permite a usuarios autenticados remotamente evitar las restricciones de acceso establecidas mediante una sesión HTTP al servidor de chat.
Vulnerabilidad en Moodle (CVE-2013-2243)
Gravedad:
MediaMedia
Publication date: 29/07/2013
Last modified:
01/12/2020
Descripción:
mod/lesson/pagetypes/matching.php en Moodle 2.2.x anterior a 2.2.11, 2.3.x anterior a 2.3.8, 2.4.x anterior a 2.4.5, y 2.5.x anterior a 2.5.1, permite a usuarios autenticados remotamente obtener información de respuesta sensible mediante la lectura del código HTML de un documento.
Vulnerabilidad en Moodle (CVE-2013-2244)
Gravedad:
MediaMedia
Publication date: 29/07/2013
Last modified:
01/12/2020
Descripción:
Multiples vulnerabilidades XSS en lib/conditionlib.php en Moodle 2.4.x anterior a 2.4.5, y 2.5.x anterior a 2.5.1 permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través del valor de la regla condicional de acceso de un campo de usuario.
Vulnerabilidad en Moodle (CVE-2013-2245)
Gravedad:
MediaMedia
Publication date: 29/07/2013
Last modified:
01/12/2020
Descripción:
rss/file.php en Moodle a la 2.1.10, 2.2.x anterior a 2.2.11, 2.3.x anterior a 2.3.8, 2.4.x anterior a 2.4.5, y 2.5.x anterior a 2.5.1 no implementa adecuadamente el uso de los tokens RSS para suplantación, lo que permite a usuarios autenticados remotamente obtener un bloque de información sensible a través del feed RSS.
Vulnerabilidad en Moodle (CVE-2013-2246)
Gravedad:
MediaMedia
Publication date: 29/07/2013
Last modified:
01/12/2020
Descripción:
mod/feedback/lib.php en Moodle a la 2.1.10, 2.2.x anterior a 2.2.11, 2.3.x anterior a 2.3.8, 2.4.x anterior a 2.4.5, y 2.5.x anterior a 2.5.1 no considera la capacidad mod/feedback:view antes de mostrar el feedback reciente, lo que permite a usuarios autenticados remotamente obtener información sensible a través de una petición para todo el curso del feedback que ha sucedido desde un momento específico.
Vulnerabilidad en Moodle (CVE-2013-4938)
Gravedad:
MediaMedia
Publication date: 29/07/2013
Last modified:
01/12/2020
Descripción:
La implementación deLTI (aka IMS-LTI) mod_form en Moodle hasta la 2.1.10, 2.2.x anterior a 2.2.11, 2.3.x anterior a 2.3.8, 2.4.x anterior a 2.4.5, y 2.5.x anterior a 2.5.1, no soporta adecuadamente sendname, sendemailaddr, y acceptgrades, lo que permite a atacantes remotos obtener información sensible en circunstancias oportunas aprovechando un entorno en el que hubo un intento no efectivo para activar los valores más seguros.
Vulnerabilidad en el componente IO Utility en varios productos (CVE-2013-4939)
Gravedad:
MediaMedia
Publication date: 29/07/2013
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de XSS en el io.swf en el componente IO Utility en Yahoo! YUI 3.0.0 a la 3.9.1, utilizado en Moodle hasta la 2.1.10, 2.2.x anterior a 2.2.11, 2.3.x anterior a 2.3.8, 2.4.x anterior a 2.4.5, 2.5.x anterior a 2.5.1, y otros productos, permite a atacantes remotos inyectar secuencias de comandos web y HTML a través de una cadena en una URL.
Vulnerabilidad en el componente IO Utility en varios productos (CVE-2013-4940)
Gravedad:
MediaMedia
Publication date: 29/07/2013
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de XSS en el io.swf en el componente IO Utility en Yahoo! YUI 3.10.2 a la 3.9.1, utilizado en Moodle hasta la 2.1.10, 2.2.x anterior a 2.2.11, 2.3.x anterior a 2.3.8, 2.4.x anterior a 2.4.5, 2.5.x anterior a 2.5.1, y otros productos, permite a atacantes remotos inyectar secuencias de comandos web y HTML a través de una cadena en una URL. Esta vulnerabilidad existe por la regresión del CVE-2013-4939.
Vulnerabilidad en el componente Uploader en varios productos (CVE-2013-4941)
Gravedad:
MediaMedia
Publication date: 29/07/2013
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de XSS en el uploader.swf en el componente Uploader en Yahoo! YUI 3.5.0 a la 3.9.1, utilizado en Moodle hasta la 2.1.10, 2.2.x anterior a 2.2.11, 2.3.x anterior a 2.3.8, 2.4.x anterior a 2.4.5, 2.5.x anterior a 2.5.1, y otros productos, permite a atacantes remotos inyectar secuencias de comandos web y HTML a través de una cadena en una URL.
Vulnerabilidad en el componente Uploader en varios productos (CVE-2013-4942)
Gravedad:
MediaMedia
Publication date: 29/07/2013
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de XSS en el flashuploader.swf en el componente Uploader en Yahoo! YUI 3.5.0 a la 3.9.1, utilizado en Moodle hasta la 2.1.10, 2.2.x anterior a 2.2.11, 2.3.x anterior a 2.3.8, 2.4.x anterior a 2.4.5, 2.5.x anterior a 2.5.1, y otros productos, permite a atacantes remotos inyectar secuencias de comandos web y HTML a través de una cadena en una URL.
CVE-2013-2079
Gravedad:
MediaMedia
Publication date: 25/05/2013
Last modified:
01/12/2020
Descripción:
mod/assign/locallib.php en el módulo de asignaciones en Moodle v2.3.x antes de v2.3.7 y v2.4.x antes de v2.4.4, no tiene en cuenta los requisitos de capacidad durante el trámite de asignación de archivado ZIP y solicitudes de descarga (alias downloadall), lo que permite a usuarios remotos autenticados leer las asignaciones de otros usuarios aprovechando el rol de estudiante.
Vulnerabilidad en Moodle (CVE-2013-2080)
Gravedad:
MediaMedia
Publication date: 25/05/2013
Last modified:
01/12/2020
Descripción:
El componente core_grade en Moodle hasta v2.1.10, v2.2.x hasta v2.2.10, v2.3.x hasta v2.3.7, y v2.4.x hasta v2.4.4, no tiene en cuenta adecuadamente la existencia de grados ocultos, que permite a los usuarios autenticados remotos obtener información sensible mediante el aprovechamiento del papel del estudiante y la lectura del informe de Gradebook Overview
Vulnerabilidad en Moodle (CVE-2013-2081)
Gravedad:
MediaMedia
Publication date: 25/05/2013
Last modified:
01/12/2020
Descripción:
Moodle hasta v2.1.10, v2.2.x hasta v2.2.10, v2.3.x hasta v2.3.7, y v2.4.x hasta v2.4.4 no considera los atributos "no enviar" el registro de centros, lo que permite a los centros remotos obtener información sensible del sitio mediante la lectura de los datos del formulario.
Vulnerabilidad en Moodle (CVE-2013-2082)
Gravedad:
MediaMedia
Publication date: 25/05/2013
Last modified:
01/12/2020
Descripción:
Moodle hasta v2.1.10, v2.2.x hasta v2.2.10, v2.3.x hasta v2.3.7, y v2.4.x hasta v2.4.4 no cumple los requisitos de capacidad para la lectura de los comentarios del blog, lo que permite a atacantes remotos obtener información sensible a través de una solicitud manipulada.
Vulnerabilidad en Moodle (CVE-2013-2083)
Gravedad:
MediaMedia
Publication date: 25/05/2013
Last modified:
01/12/2020
Descripción:
La clase MoodleQuickForm en lib/formslib.php en Moodle hasta v2.1.10, v2.2.x antes de v2.2.10, v2.3.x antes de v2.3.7, y v2.4.x antes de v2.4.4 no maneja adecuadamente una sintaxis de matrices de elementos determinados, lo que permite a atacantes remotos evitar filtrados form-data a través de una solicitud manipulada.
Vulnerabilidad en calendarmanagesubscriptions.php en Moodle (CVE-2013-1829)
Gravedad:
MediaMedia
Publication date: 25/03/2013
Last modified:
01/12/2020
Descripción:
calendar/managesubscriptions.php en Moodle v2.4.x anterior a v2.4.2 no tiene en cuenta los requisitos de capacidad antes de mostrar las suscripciones de calendario, lo que permite a usuarios remotos autenticados obtener información potencialmente sensible al aprovechar el papel del estudiante.
Vulnerabilidad en userview.php en Moodle (CVE-2013-1830)
Gravedad:
MediaMedia
Publication date: 25/03/2013
Last modified:
01/12/2020
Descripción:
user/view.php en Moodle hasta v2.1.10, v2.2.x anterior a v2.2.8, v2.3.x anterior a v2.3.5, y v2.4.x anterior a 2.4.2 no aplica el ajuste forceloginforprofiles, que permite a atacantes remotos obtener información del perfil del curso aprovechando el rol de invitado, como lo demuestra una búsqueda en Google.
Vulnerabilidad en libsetuplib.php en Moodle (CVE-2013-1831)
Gravedad:
MediaMedia
Publication date: 25/03/2013
Last modified:
01/12/2020
Descripción:
lib/setuplib.php en Moodle hasta v2.1.10, v2.2.x anterior a v2.2.8, v2.3.x anterior a v2.3.5, y v2.4.x anterior a v2.4.2 permite a atacantes remotos obtener información a través de una petición inválida, lo que revela la ruta absoluta en el mensaje de excepción.
Vulnerabilidad en repositorywebdavlib.php en Moodle (CVE-2013-1832)
Gravedad:
MediaMedia
Publication date: 25/03/2013
Last modified:
01/12/2020
Descripción:
repository/webdav/lib.php en Moodle v2.x hasta v2.1.10, v2.2.x anterior a v2.2.8, v2.3.x anterior a v2.3.5, y v2.4.x anterior a v2.4.2 incluye la contraseña en el formulario de configuración, que permite a los administradores remotos autenticados obtener información confidencial mediante la configuración de una instancia.
Vulnerabilidad en Moodle (CVE-2013-1833)
Gravedad:
BajaBaja
Publication date: 25/03/2013
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en el modulo File Picker de Moodle v2.x hasta v2.1.10, v2.2.x anterior a v2.2.8, v2.3.x anterior a v2.3.5, y v2.4.x anterior a v2.4.2 permite a usuarios autenticados de forma remota inyectar código script web de su elección o HTML a través de un nombre de fichero manipulado.
Vulnerabilidad en notesedit.php de Moodle (CVE-2013-1834)
Gravedad:
MediaMedia
Publication date: 25/03/2013
Last modified:
01/12/2020
Descripción:
notes/edit.php de Moodle v1.9.x hasta v1.9.19, v2.x hasta v2.1.10, v2.2.x hasta v2.2.8, v2.3.x anterior a v2.3.5, y v2.4.x anterior a v2.4.2 permite a usuarios remotamente autenticados asignar notas a través de modificaciones en (1) el campo userid ó (2) en el campo courseid.
Vulnerabilidad en Moodle (CVE-2013-1835)
Gravedad:
BajaBaja
Publication date: 25/03/2013
Last modified:
01/12/2020
Descripción:
Moodle v2.x hasta v2.1.10, v2.2.x anterior a v2.2.8, v2.3.x anterior a v2.3.5, y v2.4.x anterior a v2.4.2 permite a usuarios administradores autenticados remotamente obtener información de repositorios externos de cualquier usuario aprovechando la característica login_as.
Vulnerabilidad en Moodle (CVE-2013-1836)
Gravedad:
MediaMedia
Publication date: 25/03/2013
Last modified:
01/12/2020
Descripción:
Moodle v2.x hasta v2.1.10, v2.2.x anterior a v2.2.8, v2.3.x anterior a v2.3.5, y v2.4.x anterior a v2.4.2 no gestionan correctamente los privilegios del repositorios WebDAV, lo que permite a usuarios autenticados remotamente leer, modificar, o eliminar cualquier repositorio aprovechando el acceso seguro de lectura.
Vulnerabilidad en Moodle (CVE-2012-6098)
Gravedad:
MediaMedia
Publication date: 27/01/2013
Last modified:
01/12/2020
Descripción:
grade/edit/outcome/edit_form.php en Moodle v1.9.x a la v1.9.19, 2.1.x anterior a v2.1.10, v2.2.x anterior a v2.2.7, v2.3.x anterior a v2.3.4, y v2.4.x anterior a v2.4.1 no maneja adecuadamente los requisitos "moodle/grade:manage capability", lo que permite a usuarios remotos autentificados convertir los resultados personalizados en el estándar de todo el sitio mediante el aprovechamiento de los resultados del rol de profesor y utilizando la funcionalidad de reeditar.
Vulnerabilidad en Moodle (CVE-2012-6099)
Gravedad:
MediaMedia
Publication date: 27/01/2013
Last modified:
01/12/2020
Descripción:
El convertidor de copia de seguridad "moodle1" en backup/converter/moodle1/lib.php de Moodle v2.1.x anterior a v2.1.10, v2.2.x anterior a v2.2.7, v2.3.x anterior a v2.3.4, y v2.4.x anterior a v2.4.1 no valida correctamente las rutas, lo que permite a usuarios remotos autentificados leer ficheros arbitrarios aprovechándose de la funcionalidad de restauración de copias de seguridad.
Vulnerabilidad en Moodle (CVE-2012-6100)
Gravedad:
MediaMedia
Publication date: 27/01/2013
Last modified:
01/12/2020
Descripción:
report/outline/index.php en Moodle v2.2.x anterior a v2.2.7, v2.3.x anterior a v2.3.4, y v2.4.x anterior a v2.4.1 o se aplican correctamente el requisito "moodle/user:viewhiddendetails capability", lo que permite a atacantes remotos autentificados descubrir un valor oculto "lastaccess" a través de la lectura del reporte de actividad.
Vulnerabilidad en Moodle (CVE-2012-6101)
Gravedad:
MediaMedia
Publication date: 27/01/2013
Last modified:
01/12/2020
Descripción:
Varias vulnerabilidades de múltiple redirirección en Moodle v2.2.x antes de v2.2.7, v2.3.x antes de v2.3.4, v2.4.x y antes de v2.4.1 que permiten a atacantes remotos redirigir a los usuarios a sitios web arbitrarios y llevar a cabo ataques de phishing a través de vectores relacionados con (1 ) copia de seguridad / backupfilesedit.php, (2) comentario / comment_post.php, (3) course / switchrole.php, (4) mod / wiki / filesedit.php, (5) tag / coursetags_add.php, o (6) de usuario / files.php.
Vulnerabilidad en Moodle (CVE-2012-6102)
Gravedad:
MediaMedia
Publication date: 27/01/2013
Last modified:
01/12/2020
Descripción:
lib.php en el plugin Submission Comments en el módulo Assignment en Moodle v2.3.x antes de v2.3.4 y v2.4.x antes de v2.4.1 permite a atacantes remotos leer o modificar los comentarios presentación (también conocido como comentarios de retroalimentación) de los usuarios de su elección a través de un URI elaborado.
Vulnerabilidad en Moodle (CVE-2012-6103)
Gravedad:
MediaMedia
Publication date: 27/01/2013
Last modified:
01/12/2020
Descripción:
Multiple vulnerabilidad de falsificación de petición en sitios cruzados de user/messageselect.php en el sistema de mensajería de Moodle v2.2.x antes de v2.2.7, v2.3.x antes de v2.3.4, v2.4.1 y v2.4.x antes de permitir a atacantes remotos secuestrar la autenticación de usuarios arbitrarios para las solicitudes que envían mensajes de los cursos.
Vulnerabilidad en Moodle (CVE-2012-6104)
Gravedad:
MediaMedia
Publication date: 27/01/2013
Last modified:
01/12/2020
Descripción:
blog/rsslib.php en Moodle v2.2.x antes de v2.2.7, v2.3.x antes de v2.3.4, v2.4.1 y antes de v2.4.x , permite a atacantes remotos obtener información sensible de los blogs a nivel de sitio, aprovechando el papel de la huésped y de la lectura un feed RSS.
Vulnerabilidad en blogrsslib.php en Moodle (CVE-2012-6105)
Gravedad:
MediaMedia
Publication date: 27/01/2013
Last modified:
01/12/2020
Descripción:
blog/rsslib.php en Moodle v2.1.x antes de v2.1.10, v2.2.x antes de v2.2.7, v2.3.x antes de v2.3.4, v2.4.x antes de v2.4.1 que continúa proporcionando un canal de blog RSS después de blogging se desactive , que permite a atacantes remotos obtener información sensible mediante la lectura de este feed.
Vulnerabilidad en Moodle (CVE-2012-6106)
Gravedad:
MediaMedia
Publication date: 27/01/2013
Last modified:
01/12/2020
Descripción:
calendar/managesubscriptions.php en Manage Subscriptions implementation in Moodle 2.4.x antes de v2.4.1 omite una comprobacion de capacidad, que permite a usuarios remotos autenticados para eliminar a nivel de curso suscripciones a calendarios al aprovechar el papel del estudiante y el envío de un objeto iCalendar.
Vulnerabilidad en PHP Spellchecker (CVE-2012-6112)
Gravedad:
MediaMedia
Publication date: 27/01/2013
Last modified:
01/12/2020
Descripción:
classes/GoogleSpell.php en PHP Spellchecker (también conocido como Google Spellchecker) complemento anterior a v2.0.6.1 para TinyMCE, también usado en Moodle v2.1.x anterior a v2.1.10, v2.2.x anterior a v2.2.7, v2.3.x anterior a v2.3.4, y 2.4.x anterior a v2.4.1 y otros productos, no maneja adecuadamente los caracteres de control, lo que permite a atacantes remotos ejecutar peticiones arbitrarias HTTP fuera de límite, a través de cadenas modificadas.
Vulnerabilidad en Moodle (CVE-2012-5471)
Gravedad:
MediaMedia
Publication date: 21/11/2012
Last modified:
01/12/2020
Descripción:
Dropbox Repository File Picker en Moodle v2.1.x antes de v2.1.9, v2.2.x antes de v2.2.6, y v2.3.x antes de v2.3.3 permite a usuarios remotos autenticados acceder al Dropbox de un usuario diferente al aprovechar una estación de trabajo sin supervisión después de un cierre de sesión.
Vulnerabilidad en Moodle (CVE-2012-5473)
Gravedad:
MediaMedia
Publication date: 21/11/2012
Last modified:
01/12/2020
Descripción:
El módulo Database activity en Moodle v2.1.x antes de v2.1.9, v2.2.x antes de v2.2.6, y v2.3.x antes de v2.3.3, permite a los atacantes remotos evitar las restricciones previstas en la lectura de las entradas de otros usuarios del grupo a través de una búsqueda avanzada.
Vulnerabilidad en Moodle (CVE-2012-5479)
Gravedad:
MediaMedia
Publication date: 21/11/2012
Last modified:
01/12/2020
Descripción:
El complemento Portfolio en Moodle v2.1.x antes de v2.1.9, v2.2.x antes de v2.2.6, y v2.3.x antes de v2.3.3 permite a usuarios remotos autenticados cargar y ejecutar archivos a través de una devolución de llamada modificada a la API Portfolio.
Vulnerabilidad en Moodle (CVE-2012-5480)
Gravedad:
MediaMedia
Publication date: 21/11/2012
Last modified:
01/12/2020
Descripción:
El módulo Database activity en Moodle v2.1.x antes de v2.1.9, v2.2.x antes de v2.2.6, y v2.3.x antes de v2.3.3, permite a los atacantes remotos evitar las restricciones previstas en la lectura de las entradas de otros participantes a través de una búsqueda avanzada.
Vulnerabilidad en Moodle (CVE-2012-5481)
Gravedad:
MediaMedia
Publication date: 21/11/2012
Last modified:
01/12/2020
Descripción:
Moodle v2.3.x antes de v2.3.3 permite a usuarios remotos autenticados evitar el requisito moodle/role:manage capability y leer todos los datos de capacidad visitando la página Check Permissions.
Vulnerabilidad en repository_ajax.php en Moodle (CVE-2012-4400)
Gravedad:
MediaMedia
Publication date: 19/09/2012
Last modified:
01/12/2020
Descripción:
repository/repository_ajax.php en Moodle v2.2.x antes de v2.2.5 y v2.3.x antes de v2.3.2 permite a usuarios remotos autenticados eludir restricciones de tamaño de subida de ficheros a través de un valor de -1 en el campo MaxBytes.
Vulnerabilidad en Moodle (CVE-2012-4401)
Gravedad:
MediaMedia
Publication date: 19/09/2012
Last modified:
01/12/2020
Descripción:
Moodle v2.2.x anterior a 2.2.5 y v2.3.x anterior a 2.3.2, permite a usuarios autenticados remotamente evitar las restricciones de acceso establecidas y realizar algunos cambios de tópicos aprovechando la posibilidad de edición de los cursos.
Vulnerabilidad en lib.php en Moodle (CVE-2012-4402)
Gravedad:
MediaMedia
Publication date: 19/09/2012
Last modified:
01/12/2020
Descripción:
webservice/lib.php en Moodle v2.1.x antes de v2.1.8, v2.2.x antes de v2.2.5 y v2.3.x antes de v2.3.2 no restringe correctamente el uso de los tokens de los servicios web, lo que permite a usuarios remotos autenticados ejecutar funciones de servicios externos de su elección a través de un token previsto para un solo servicio.
Vulnerabilidad en themeyui_combo.php en Moodle (CVE-2012-4403)
Gravedad:
MediaMedia
Publication date: 19/09/2012
Last modified:
01/12/2020
Descripción:
theme/yui_combo.php en Moodle 2.3.x anteiores a v2.3.2 no construye de forma correcta las respuestas de error, para el conjuto de comandos drag-and-drop, lo que permite a atacantes remotos a obtener el path de instalación mediante el envío de una petición de una fuente que no existe y leyendo la respuesta.
Vulnerabilidad en libfilelib.php en Moodle (CVE-2012-4407)
Gravedad:
MediaMedia
Publication date: 19/09/2012
Last modified:
01/12/2020
Descripción:
lib/filelib.php en Moodle v2.1.x anterior a v2.1.8, v2.2.x anterior a v2.2.5, y v2.3.x anterior a v2.3.2, no valida adecuadamente el estado de la publicación de los archivos del blog, lo que permite a atacantes remotos obtener información sensible a través de la lectura de una entrada en el blog que referencia a un archivo que no es público.
Vulnerabilidad en reset.php en Moodle (CVE-2012-4408)
Gravedad:
MediaMedia
Publication date: 19/09/2012
Last modified:
01/12/2020
Descripción:
curso/reset.php en Moodle v2.1.x antes de v2.1.8, v2.2.x antes de v2.2.5 y v2.3.x antes de v2.3.2 comprueba una capacidad de actualización en lugar de una capacidad de restablecimiento (reset), lo que permite a usuarios remotos autenticados evitar las restricciones de acceso a través de una operación de restablecimiento (reset).
Vulnerabilidad en Moodle (CVE-2012-3387)
Gravedad:
MediaMedia
Publication date: 23/07/2012
Last modified:
01/12/2020
Descripción:
Moodle v2.3.x anteriores a v2.3.1 usa solo un control del lado del cliente utiliza sólo una comprobación del lado del cliente para saber si las referencias están permitidas en un archivo subido, lo que permite a usuarios remotos autenticados omitir las restricciones de alias (también conocido como acceso directo) impuestas a través de un cliente que omita esta comprobación.
Vulnerabilidad en La función is_enrolled en libaccesslib.php en Moodle (CVE-2012-3388)
Gravedad:
MediaMedia
Publication date: 23/07/2012
Last modified:
01/12/2020
Descripción:
La función is_enrolled en lib/accesslib.php en Moodle v2.2.x anteriores a v2.2.4 y v2.3.x anteriores a v2.3.1 no interactúa de forma adecuada con la característica de cacheado, lo qe podría permitir a usuarios remotos autenticados evitar el control de capacidad a través de vectores que provocan un cacheado del registro de usuario.
Vulnerabilidad en modltitypessettings.php en Moodle (CVE-2012-3389)
Gravedad:
MediaMedia
Publication date: 23/07/2012
Last modified:
01/12/2020
Descripción:
vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en mod/lti/typessettings.php en Moodle v2.2.x anteriores a v2.2.4 y v2.3.x anteriores a v2.3.1, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de los parámetros (1) lti_typename o (2) lti_toolurl.
Vulnerabilidad en libfilelib.php en Moodle (CVE-2012-3390)
Gravedad:
BajaBaja
Publication date: 23/07/2012
Last modified:
01/12/2020
Descripción:
lib/filelib.php en Moodle v2.1.x anteriores a v2.1.7 y v2.2.x anteriores a v2.2.4 no restringe de forma adecuada el fichero a un fichero después de que un bloque se haya ocultado, lo que permite a usuarios autenticados remotos a obtener información sensible leyendo un fichero que está incluido en un bloque.
Vulnerabilidad en modforumrsslib.php in Moodle (CVE-2012-3391)
Gravedad:
MediaMedia
Publication date: 23/07/2012
Last modified:
01/12/2020
Descripción:
mod/forum/rsslib.php en Moodle v2.1.x anteriores a v2.1.7 y v2.2.x anteriores a v2.2.4 no implementan de forma adecuada el requisito para escribir un post, después de leer un foro Q&A, lo que permite a usuarios remotos autenticados a eludir las restricciones de acceso establecidas aprovechando el rol de estudiante y leyendo el feed RSS de un foro.
Vulnerabilidad en modforumunsubscribeall.php en Moodle (CVE-2012-3392)
Gravedad:
MediaMedia
Publication date: 23/07/2012
Last modified:
01/12/2020
Descripción:
mod/forum/unsubscribeall.php en Moodle v2.1.x anteriores a v2.1.7 y v2.2.x anteriores a v2.2.4 no tiene en cuenta si un foro es opcional, lo que permite a usuarios remotos autenticados eludir los requisitos de suscripción foro, aprovechando el rol de estudiante y se dan de baja de todos los foros.
Vulnerabilidad en repositorylib.php en Moodle (CVE-2012-3393)
Gravedad:
BajaBaja
Publication date: 23/07/2012
Last modified:
01/12/2020
Descripción:
vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en repository/lib.php en Moodle v2.1.x anteriores a v2.1.7 y v2.2.x anteriores a v2.2.4, permite a atacantes remotos inyectar secuencias de comandos web o HTML renombrando un repositorio.
Vulnerabilidad en authldapntlmsso_attempt.php en Moodle (CVE-2012-3394)
Gravedad:
MediaMedia
Publication date: 23/07/2012
Last modified:
01/12/2020
Descripción:
auth/ldap/ntlmsso_attempt.php en Moodle v2.0.x anteriores a v2.0.10, v2.1.x anteriores a v2.1.7, v2.2.x anteriores a v2.2.4, y v2.3.x anteriores a v2.3.1 redirecciona usuarios desde una dirección URL HTTPS de login LDAP, lo que permite atacantes remotos a obtener información sensible espiando la red.
Vulnerabilidad en modfeedbackcomplete.php en Moodle (CVE-2012-3395)
Gravedad:
MediaMedia
Publication date: 23/07/2012
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de inyección SQL en mod/feedback/complete.php en Moodle v2.0.x anteriores a v2.0.10, v2.1.x anteriores a v2.1.7, y v2.2.x anteriores a v2.2.4, permite a atacantes remotos ejecutar comandos SQL de su elección a través de un formulario de datos modificado.
Vulnerabilidad en cohortedit_form.php en Moodle (CVE-2012-3396)
Gravedad:
BajaBaja
Publication date: 23/07/2012
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en cohort/edit_form.php en Moodle v2.0.x anteriores a v2.0.10, v2.1.x anteriores a v2.1.7, v2.2.x anteriores a v2.2.4, y v2.3.x anteriores a v2.3.1, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del campo idnumber. NOTA: esta vulnerabilidad existe debido a una mala implementación de la solución para CVE-2012-2365.
Vulnerabilidad en libmodinfolib.php en Moodle (CVE-2012-3397)
Gravedad:
MediaMedia
Publication date: 23/07/2012
Last modified:
01/12/2020
Descripción:
lib/modinfolib.php en Moodle v2.0.x anteriores a v2.0.10, v2.1.x anteiores a v2.1.7, v2.2.x anteriores a v2.2.4, y v2.3.x anteriores a v2.3.1 no comprueban los requisitos para un grupo de miembros cuando una actividad no está disponible u oculta, lo que permite a usuarios remotos autenticados evitar las restricciones de acceso especificadas seleccionando una actividad que está configurada para un grupo de otros usuarios.
Vulnerabilidad en Moodle (CVE-2012-3398)
Gravedad:
MediaMedia
Publication date: 23/07/2012
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de complejidad algorítmica en Moodle v1.9.x anteriores a v1.9.19, v2.0.x anteriores a v2.0.10, v2.1.x anteriores a v2.1.7, y v2.2.x anteriores a v2.2.4 permite a atacantes remotos provocar una denegación de servicio (consumo de CPU) mediante el uso de la búsqueda avanzada en una base de datos que tenga muchos registros.
Vulnerabilidad en Moodle (CVE-2012-2353)
Gravedad:
MediaMedia
Publication date: 21/07/2012
Last modified:
01/12/2020
Descripción:
Moodle v2.1.x anteriores a v2.1.6 y v2.2.x anteriores a v2.2.3 permite a usuarios remotos autenticados a obtener información sensible del usuario de campos ocultos mediante el aumento del rol de profesor y nevegando a "enrolled users" bajo la sección "User Settings".
Vulnerabilidad en Moodle (CVE-2012-2354)
Gravedad:
MediaMedia
Publication date: 21/07/2012
Last modified:
01/12/2020
Descripción:
Moodle v2.1.x anteriores a v2.1.6 y v2.2.x anteriores a v2.2.3 permite a usuarios remotos autenticados a evitar los requisitos de la característica moodle/site:readallmessages y leer mensajes utilizando la característica "Recent conversations" con un parámetro modificado en la URL.
Vulnerabilidad en Moodle (CVE-2012-2355)
Gravedad:
MediaMedia
Publication date: 21/07/2012
Last modified:
01/12/2020
Descripción:
Moodle v2.1.x anteriores a v2.1.6 y v2.2.x anteiores a v2.2.3 permite a usuarios remotos autenticados a evitar los requisitos question:use* y añadir preguntas a un cuestionario a través de la caractérística questions.
Vulnerabilidad en La funcionalidad question-bank en Moodle (CVE-2012-2356)
Gravedad:
MediaMedia
Publication date: 21/07/2012
Last modified:
01/12/2020
Descripción:
La funcionalidad question-bank en Moodle v2.1.x anteriores a v2.1.6 y v2.2.x anteriores a v2.2.3 permite usuarios remotos autenticados evitar los requisitos de capacidades establecidos y guardar preguntas a través de una acción save_question.
Vulnerabilidad en La característica Multi-Authentication en la función Central Authentication Service (CAS) en Moodle (CVE-2012-2357)
Gravedad:
MediaMedia
Publication date: 21/07/2012
Last modified:
01/12/2020
Descripción:
La característica Multi-Authentication en la función Central Authentication Service (CAS) en Moodle v2.1.x anterior a v2.1.6 y v2.2.x anteiores a v2.2.3 no utiliza HTTPS, lo que permite a atacantes remotos obtener credenciales espiando el tráfico de la red.
Vulnerabilidad en Moodle (CVE-2012-2358)
Gravedad:
MediaMedia
Publication date: 21/07/2012
Last modified:
01/12/2020
Descripción:
Moodle v2.0.x anteriore a v2.0.9, 2.1.x anteriores a v2.1.6, y v2.2.x anteriores a v2.2.3 permite a usuarios remotos autenticados a evitar el estado de actividad solo-lectura y modificar la base de datos aumentando el rol de estudiante y editando la base de datos de las entradas de actividades eque ya existen.
Vulnerabilidad en adminrolesoverride.php en Moodle (CVE-2012-2359)
Gravedad:
MediaMedia
Publication date: 21/07/2012
Last modified:
01/12/2020
Descripción:
admin/roles/override.php en Moodle v2.0.x anteriores a v2.0.9, v2.1.x anteiores a v2.1.6, y v2.2.x anteriores a v2.2.3 permite a usuarios remotos autenticados obtener privilegios mediante la elevación de privilegios del rol de profesor y modificando sus propias capacidades, como se demostró consiguiendo la capacidad backup:userinfo.
Vulnerabilidad en subsistema Wiki en Moodle (CVE-2012-2360)
Gravedad:
BajaBaja
Publication date: 21/07/2012
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en el subsistema Wiki en Moodle v2.0.x anteriores a v2.0.9, v2.1.x anteriores a v2.1.6, y v2.2.x anteriores a v2.2.3 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de una cadena manipuladaque es insertada en eñtçitulo de la página.
Vulnerabilidad en adminwebserviceforms.php en la implementación del servicio Web en Moodle (CVE-2012-2361)
Gravedad:
BajaBaja
Publication date: 21/07/2012
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en admin/webservice/forms.php en la implementación del servicio Web en Moodle v2.0.x anteiores a v2.0.9, v2.1.x anteiores a v2.1.6, y v2.2.x anteriores a v2.2.3 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del campo name (también conocido como "service name" sobre admin/webservice/service.php
Vulnerabilidad en bloglib.php en Moodle (CVE-2012-2362)
Gravedad:
BajaBaja
Publication date: 21/07/2012
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en blog/lib.php en la implementación del blog en Moodle v1.9.x anteriores a v1.9.18 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de un parámetro manipuolado sobre blog/index.php.
Vulnerabilidad en moddatapreset.php en Moodle (CVE-2012-2366)
Gravedad:
MediaMedia
Publication date: 21/07/2012
Last modified:
01/12/2020
Descripción:
mod/data/preset.php en Moodle v2.1.x anterior a v2.1.6 y v2.2.x anteriores a v2.2.3 no repite de forma adecuada el paso de una matriz, lo que permite a usuarios remotos autenticados a sobrescribir valores de la actividad en la base de datos a través de vectores no especificados.
Vulnerabilidad en calendarevent.php en Moodle (CVE-2012-2363)
Gravedad:
MediaMedia
Publication date: 21/07/2012
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de inyección SQL en calendar/event.php en la implementación en Moodle v1.9.x anteriores a v1.9.18, permite a atacantes remotos ejecutar comandos SQL de su elección a través de eventos del calendario manipulados.
Vulnerabilidad en libfilelib.php en Moodle (CVE-2012-2364)
Gravedad:
BajaBaja
Publication date: 21/07/2012
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en lib/filelib.php en Moodle v2.0.x antgeriores a v2.0.9, v2.1.x anteriores v2.1.6, y v2.2.x anteriores a v2.2.3 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de un asignación de presentación con compresión ZIP, que conduce a un dibujo de un fichero text/html durante una acción "download all".
Vulnerabilidad en Moodle (CVE-2012-2365)
Gravedad:
BajaBaja
Publication date: 21/07/2012
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en Moodle v2.0.x anteriores a v2.0.9, v2.1.x anteiores a v2.1.6, y 2.2.x anteriores a v2.2.3 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del campo idnumber sobre cohort/edit.php.
Vulnerabilidad en Moodle (CVE-2012-2367)
Gravedad:
MediaMedia
Publication date: 21/07/2012
Last modified:
01/12/2020
Descripción:
Moodle v1.9.x anteriores a v1.9.18, 2.0.x anteriores a v2.0.9, v2.1.x anteriores a v2.1.6, y v2.2.x anteriores a v2.2.3 permite a usuarios remotos autenticados a evitar los requisitos moodle/calendar:manageownentries y añadir una entrada a calendario a través de una acción nueva entrada.
Vulnerabilidad en pagelib.php en Moodle (CVE-2011-4581)
Gravedad:
MediaMedia
Publication date: 20/07/2012
Last modified:
01/12/2020
Descripción:
mod/wiki/pagelib.php en Moodle v2.0.x antes de v2.0.6 y v2.1.x antes de v2.1.3 permite a usuarios remotos autenticados descubrir el nombre de usuario de un creador de wiki visitando la interfaz de historial y de eliminación de usuarios.
Vulnerabilidad en Moodle (CVE-2011-4582)
Gravedad:
MediaMedia
Publication date: 20/07/2012
Last modified:
01/12/2020
Descripción:
Una vulnerabilidad de redireción abierta en la página de conjunto de calendarios en Moodle v2.1.x antes de v2.1.3 permite a usuarios remotos autenticados redirigir a los usuarios a sitios web de su elección y llevar a cabo ataques de phishing a través de una redirección de URL.
Vulnerabilidad en Moodle (CVE-2011-4583)
Gravedad:
MediaMedia
Publication date: 20/07/2012
Last modified:
01/12/2020
Descripción:
Moodle v2.0.x antes de v2.0.6 y v2.1.x antes de v2.1.3 muestra las fichas de servicios web asociadas con (1) los servicios deshabilitados y (2) los usuarios que ya no tienen autorización, lo que permite tener un impacto no especificado a usuarios remotos autenticados por la lectura estos fichas.
Vulnerabilidad en Moodle (CVE-2011-4584)
Gravedad:
MediaMedia
Publication date: 20/07/2012
Last modified:
01/12/2020
Descripción:
La funcionalidad de autenticación MNET en Moodle v1.9.x antes de v1.9.15, v2.0.x antes de v2.0.6 y v2.1.x antes de v2.1.3 permite hacerse pasar por otras cuentas de usuario a usuarios remotos autenticados mediante el uso de la funcionalidad "Login As" junto con una funcionalidad remota de inicio de sesión único (Single-Sign-On), tal y como lo demuestra un sitio hecho con Mahara.
Vulnerabilidad en change_password.php en Moodle (CVE-2011-4585)
Gravedad:
MediaMedia
Publication date: 20/07/2012
Last modified:
01/12/2020
Descripción:
login/change_password.php en Moodle v1.9.x antes de v1.9.15 no utiliza HTTPS para el formulario de cambio de contraseña, incluso si la opción httpslogin está activada, lo que permite a atacantes remotos obtener credenciales espiando el tráfico de red.
Vulnerabilidad en Calendarset.php en Moodle (CVE-2011-4586)
Gravedad:
MediaMedia
Publication date: 20/07/2012
Last modified:
01/12/2020
Descripción:
Una vulnerabilidad de inyección CRLF en calendar/set.php en el subsistema de Calendario en Moodle v1.9.x antes de v1.9.15, v2.0.x antes de v2.0.6 y v2.1.x antes v2.1.3 que permite a atacantes remotos inyectar cabeceras HTTP de su elección y llevar a cabo ataques de división de respuesta HTTP a través de vectores no especificados.
Vulnerabilidad en moodlelib.php en Moodle (CVE-2011-4587)
Gravedad:
MediaMedia
Publication date: 20/07/2012
Last modified:
01/12/2020
Descripción:
lib/moodlelib.php en Moodle v1.9.x antes de v1.9.15, v2.0.x antes de v2.0.6 y v2.1.x antes de v2.1.3 no maneja adecuadamente ciertos valores de cero en la política de contraseñas, lo que hace que sea más fácil para los atacantes remotos a la hora de obtener acceso aprovechándose de la posible existencia de cuentas de usuario con contraseñas en blanco.
Vulnerabilidad en Moodle (CVE-2011-4588)
Gravedad:
MediaMedia
Publication date: 20/07/2012
Last modified:
01/12/2020
Descripción:
La función ip_in_range en Mnet/lib.php en MNET en Moodle v1.9.x antes de v1.9.15 utiliza un tipo de datos incorrecto, lo que permite a atacantes remotos eludir restricciones de direcciones IP a través de una solicitud XMLRPC.
Vulnerabilidad en restore_stepslib.php en Moodle (CVE-2011-4589)
Gravedad:
MediaMedia
Publication date: 20/07/2012
Last modified:
01/12/2020
Descripción:
backup/moodle2/restore_stepslib.php en Moodle v2.0.x antes de v2.0.6 y v2.1.x antes de v2.1.3 no comprueba el privilegio moodle/course:changeidnumber durante la manipulación de números de identificación del curso, lo que permite sobrescribir los números ID a usuarios remotos autenticados a través de una acción de restauración.
Vulnerabilidad en Moodle (CVE-2011-4590)
Gravedad:
MediaMedia
Publication date: 20/07/2012
Last modified:
01/12/2020
Descripción:
La implementación de servicios web en Moodle v2.0.x antes de v2.0.6 y v2.1.x antes de v2.1.3 no tiene debidamente en cuenta el estado del modo de mantenimiento y los atributos de la cuenta durante los intentos de inicio de sesión, lo que permite eludir las restricciones de acceso a usuarios remotos autenticados al conectarse a un servidor de servicio web.
Vulnerabilidad en datalib.php en Moodle (CVE-2011-4591)
Gravedad:
MediaMedia
Publication date: 20/07/2012
Last modified:
01/12/2020
Descripción:
Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en la función print_object en lib/datalib.php en Moodle v2.0.x antes de v2.0.6 y v2.1.x antes de v2.1.3, cuando se activa una secuencia de comandos de depuración de desarrollador, permite a atacantes remotos inyectar web script o HTML de su elección a través de vectores relacionados con los estados de los objetos.
Vulnerabilidad en Moodle (CVE-2011-4592)
Gravedad:
MediaMedia
Publication date: 20/07/2012
Last modified:
01/12/2020
Descripción:
La implementación de la crontab por línea de comandos en Moodle v2.0.x antes de v2.0.6 y v2.1.x antes de v2.1.3 no interactua adecuadamente con el bloqueo de IPs, lo que podría permitir a atacantes remotos eludir restricciones de direcciones IP al aprovecharse de una configuración en la que el bloqueo de IP se ha desactivado para restaurar la funcionalidad cron.
Vulnerabilidad en Moodle (CVE-2011-4593)
Gravedad:
MediaMedia
Publication date: 20/07/2012
Last modified:
01/12/2020
Descripción:
Moodle v1.9.x antes de v1.9.15, v2.0.x antes de v2.0.6 y v2.1.x antes de v2.1.3 no controla correctamente los mensajes de grupo user/action_redir, lo que permite descubrir direcciones de correo electrónico a usuarios remotos autenticados visitando la interfaz de mensajería.
Vulnerabilidad en Moodle (CVE-2012-0792)
Gravedad:
MediaMedia
Publication date: 17/07/2012
Last modified:
01/12/2020
Descripción:
mod/forum/user.php en Moodle v1.9.x anterior a v1.9.16 permite a usuarios remotos autenticados para obtener los nombres y otros detalles de las cuentas de usuario arbitrarias por parte de la búsqueda de
Vulnerabilidad en Moodle (CVE-2012-0793)
Gravedad:
MediaMedia
Publication date: 17/07/2012
Last modified:
01/12/2020
Descripción:
Moodle v1.9.x antes de v1.9.16, v2.0.x antes de v2.0.7, v2.1.x antes de v2.1.4, y v2.2.x antes de v2.2.1 permite a atacantes remotos ver las imágenes de perfil de las cuentas de usuario a través de vectores no especificados.
Vulnerabilidad en moodlelib.php en Moodle (CVE-2012-0794)
Gravedad:
MediaMedia
Publication date: 17/07/2012
Last modified:
01/12/2020
Descripción:
La función rc4encrypt en lib/moodlelib.php en Moodle v1.9.x antes de v1.9.16, v2.0.x antes de v2.0.7, v2.1.x antes de v2.1.4 y v2.2.x antes de v2.2.1 utiliza una contraseña codificada 'nfgjeingjk', lo hace más fácil para los atacantes remotos a la hora de saltarse los mecanismos criptográficos de protección mediante la lectura de código fuente de este script en la distribución de este software de código abierto.
Vulnerabilidad en Moodle (CVE-2012-0795)
Gravedad:
MediaMedia
Publication date: 17/07/2012
Last modified:
01/12/2020
Descripción:
Moodle v1.9.x anterior a v1.9.16, v2.0.x anterior a v2.0.7, v2.1.x anterior a v2.1.4, v2.2.1 y v2.2.x no valida la configuración del correo electrónico, permitiendo a usuarios remotos autenticados para tener una el impacto no especificado a través de una dirección diseñada.
Vulnerabilidad en class.phpmailer.php en Moodle (CVE-2012-0796)
Gravedad:
MediaMedia
Publication date: 17/07/2012
Last modified:
01/12/2020
Descripción:
class.phpmailer.php en la biblioteca PHPMailer, como los usados ??en Moodle v1.9.x antes de v1.9.16, v2.0.x antes de v2.0.7, v2.1.x antes de v2.1.4, y v2.2.x antes de v2.2.1 y otros productos, permite a usuarios remotos autenticados inyectar arbitrarias encabezados de correo electrónico a través de vectores relacionados con un hecho a mano (1) de: o (2) remitente: cabecera.
Vulnerabilidad en Moodle (CVE-2012-0798)
Gravedad:
MediaMedia
Publication date: 17/07/2012
Last modified:
01/12/2020
Descripción:
La funcionalidad de auto-inscripción en Moodle v2.1.x anterior a v2.1.4 y v2.2.x anterior a v2.2.1 permite a usuarios remotos autenticados obtener la función de administrador mediante el aprovechamiento de la función docente.
Vulnerabilidad en Moodle (CVE-2012-0799)
Gravedad:
MediaMedia
Publication date: 17/07/2012
Last modified:
01/12/2020
Descripción:
Moodle v2.0.x anterior a v2.0.7 y v2.1.x anterior a v2.1.4, cuando un anónimo en primera página el foro está activada, permite a atacantes remotos para obtener las claves de sesión para las sesiones, visite la página principal ..
Vulnerabilidad en Moodle (CVE-2012-0800)
Gravedad:
BajaBaja
Publication date: 17/07/2012
Last modified:
01/12/2020
Descripción:
La funcionalidad de autocompletado de formularios en Moodle v2.0.x antes de v2.0.7, v2.1.x antes de v2.1.4, y v2.2.x antes de v2.2.1 hace más fácil para los atacantes físicamente próximos el descubrir contraseñas mediante la lectura de los contenidos de un campo de tipo 'non-password'. Tal y como lo demuestra el acceso a una página de creación de grupos con Safari en un dispositivo iPad.
Vulnerabilidad en Moodle (CVE-2012-0801)
Gravedad:
AltaAlta
Publication date: 17/07/2012
Last modified:
01/12/2020
Descripción:
lib/formslib.php en Moodle v2.1.x anterior a v2.1.4 y v2.2.x anterior a v2.2.1 no maneja adecuadamente varias instancias de un elemento de formulario, que tiene un impacto no especificado y vectores de ataque a distancia.
Vulnerabilidad en Moodle (CVE-2011-4291)
Gravedad:
MediaMedia
Publication date: 16/07/2012
Last modified:
01/12/2020
Descripción:
Moodle v2.0.x antes de v2.0.3 permite a usuarios autenticados remotamente provocar una denegación de servicio (registros de base de datos no válidos) a través de una serie de operaciones de las valoraciones manipuladas.
Vulnerabilidad en Moodle (CVE-2011-4133)
Gravedad:
MediaMedia
Publication date: 16/07/2012
Last modified:
01/12/2020
Descripción:
Una vulnerabilidad de falsificación de peticiones en sitios cruzados (CSRF) en Moodle v1.9.x antes de v1.9.11 permite a atacantes remotos secuestrar la autenticación de víctimas aleatorias en solicitudes que modifican un feed RSS en un bloque de RSS.
Vulnerabilidad en Moodle (CVE-2011-4278)
Gravedad:
MediaMedia
Publication date: 16/07/2012
Last modified:
01/12/2020
Descripción:
Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en la funcionalidad de autocompletado de etiquetas en Moodle v1.9.x antes de v1.9.11 y v2.0.x antes de v2.0.2 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores no especificados.
Vulnerabilidad en Moodle (CVE-2011-4279)
Gravedad:
MediaMedia
Publication date: 16/07/2012
Last modified:
01/12/2020
Descripción:
Moodle v2.0.x antes de v2.0.2 no utiliza el ajuste de control forceloginforprofiles para controlar el acceso a los perfiles del curso, lo que hace que sea más fácil para los atacantes remotos a la hora de obtener información sensible a través de vectores relacionados con el uso de un motor de búsqueda, tal y como lo demuestra la funcionalidad de búsqueda de Google, Yahoo!, Wrensoft Zoom, MSN, Yandex y AltaVista.
Vulnerabilidad en biblioteca PHPCoverage Spike de Moodle (CVE-2011-4280)
Gravedad:
MediaMedia
Publication date: 16/07/2012
Last modified:
01/12/2020
Descripción:
Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en la biblioteca PHPCoverage Spike (también conocido como spikephpcoverage) , tal y como se utiliza en Moodle v2.0.x antes de v2.0.2 y otros productos, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores no especificados.
Vulnerabilidad en Moodle (CVE-2011-4281)
Gravedad:
MediaMedia
Publication date: 16/07/2012
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de falsificación de peticiones en sitios cruzados (CSRF) en Moodle v2.0.x antes de v2.0.2 permiten a atacantes remotos secuestrar la autenticación de usuarios de su elección en solicitudes que marcan la finalización de (1) una actividad o (2) un curso.
Vulnerabilidad en coursetags_more.php en Moodle (CVE-2011-4282)
Gravedad:
MediaMedia
Publication date: 16/07/2012
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de ejecución de comandos en sitios cruzados (XSS) en la funcionalidad curso-tags en tag/coursetags_more.php en Moodle v2.0.x antes de v2.0.2 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del parámetro (1) sort o (2) show.
Vulnerabilidad en Moodle (CVE-2011-4284)
Gravedad:
MediaMedia
Publication date: 16/07/2012
Last modified:
01/12/2020
Descripción:
Moodle v2.0.x anterior a v2.0.2 permite a ataacntes remotos obtener información desde un "mi perfil" (también conocido como "My profile")bloque, visitando una página clase.
Vulnerabilidad en Moodle (CVE-2011-4285)
Gravedad:
MediaMedia
Publication date: 16/07/2012
Last modified:
01/12/2020
Descripción:
La configuración por defecto de Moodle v2.0.x antes de v2.0.2 tiene una configuración incorrecta de la funcionalidad moodle/course:delete, lo que permite eliminar cursos de su elección a usuarios remotos autenticados aprovechándose del rol 'teacher'.
Vulnerabilidad en uploaduser_form.php en Moodle (CVE-2011-4287)
Gravedad:
MediaMedia
Publication date: 16/07/2012
Last modified:
01/12/2020
Descripción:
admin/uploaduser_form.php en Moodle v2.0.x anteriores a la v2.0.3 no fuerza a los usuarios autosubscribed a cambiar su contraseña, lo que hace que sea más fácil para los atacantes remotos obtener acceso aprovechándose de conocer la contraseña inicial de un nuevo usuario.
Vulnerabilidad en Moodle (CVE-2011-4289)
Gravedad:
MediaMedia
Publication date: 16/07/2012
Last modified:
01/12/2020
Descripción:
Moodle v2.0.x anterior a v2.0.3 no reconoce el valor de configuración que hace que direcciones de correo electrónico sólo visible para los miembros del curso, lo que permite a usuarios remotos autenticados obtener la información de dirección sensible a la lectura de una página de perfil completo.
Vulnerabilidad en Moodle (CVE-2011-4283)
Gravedad:
MediaMedia
Publication date: 16/07/2012
Last modified:
01/12/2020
Descripción:
Moodle v1.9.x antes de v1.9.11 y v2.0.x antes de v2.0.2 coloca un archivo de inscripción de empresa IMS en el área de archivos del curso, lo que permite a atacantes remotos obtener información sensible a través de una solicitud imsenterprise-enrol.xml.
Vulnerabilidad en Moodle (CVE-2011-4286)
Gravedad:
MediaMedia
Publication date: 16/07/2012
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en la implementación de medios de filtro en filter/mediaplugin/filter.php en Moodle v1.9.x anterior a v1.9.11 y v2.0.x anterior a v2.0.2 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores relacionados con (1) flash Video (también conocido como FLV) y (2) videos de YouTube.
Vulnerabilidad en Moodle (CVE-2011-4288)
Gravedad:
MediaMedia
Publication date: 16/07/2012
Last modified:
01/12/2020
Descripción:
Moodle v1.9.x anterior a v1.9.12 y v2.0.x anterior a v2.0.3 no aplica correctamente las asociaciones entre los profesores y los grupos, lo que permite a usuarios remotos autenticados leer los informes de examen de los estudiantes arbitrarios mediante el aprovechamiento de la función docente.
Vulnerabilidad en Moodle (CVE-2011-4290)
Gravedad:
MediaMedia
Publication date: 16/07/2012
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en lib/weblib.php en Moodle v1.9.x anterior a v1.9.12 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores relacionados con la codificación URL.
Vulnerabilidad en Moodle (CVE-2011-4292)
Gravedad:
MediaMedia
Publication date: 16/07/2012
Last modified:
01/12/2020
Descripción:
Moodle v2.0.x antes de v2.0.3 permite a usuarios autenticados remotamente provocar una denegación de servicio (registros de base de datos no válidos) a través de una serie de operaciones de los comentarios manipuladas.
Vulnerabilidad en Moodle (CVE-2011-4293)
Gravedad:
MediaMedia
Publication date: 16/07/2012
Last modified:
01/12/2020
Descripción:
La implementación tema en Moodle v2.0.x antes de v2.0.4 y v2.1.x antes de v2.1.1 dispara duplicados de almacenamiento en caché de las Hojas de Estilo en Cascada (CSS) y el contenido de JavaScript, lo que permite a atacantes remotos evitar las restricciones de acceso previstos y escribir en un sistema operativo directorio temporal a través de vectores no especificados.
Vulnerabilidad en Moodle (CVE-2011-4294)
Gravedad:
MediaMedia
Publication date: 16/07/2012
Last modified:
01/12/2020
Descripción:
La funcionalidad de mensajes de error en Moodle v1.9.x anterior a v1.9.13, v2.0.x anterior a v2.0.4, v2.1.1 y v2.1.x no garantiza que un enlace de continuidad se refiera a una dirección http o https para la instancia local de Moodle, lo que podría permitir a un atacante engañar a los usuarios a visitar sitios web a través de arbitrarias vectores no especificados.
Vulnerabilidad en Moodle (CVE-2011-4295)
Gravedad:
MediaMedia
Publication date: 16/07/2012
Last modified:
01/12/2020
Descripción:
El moodle_enrol_external:role_assign function in enrol/externallib.php en Moodle v2.0.x anterior a v2.0.4 y v2.1.x anterior a v2.1.1 no tiene una comprobación de autorización, permite a usuarios remotos autenticados obtener privilegios mediante una asignación de funciones.
Vulnerabilidad en Moodle (CVE-2011-4296)
Gravedad:
MediaMedia
Publication date: 16/07/2012
Last modified:
01/12/2020
Descripción:
lib/db/access.php en Moodle v2.0.x anterior a v2.0.4 y v2.1.x anterior a v2.1.1 asigna funciones incorrectas para el rol course-creator, permite a usuarios remotos autenticados para modificar los filtros del curso mediante el aprovechamiento de este papel.
Vulnerabilidad en Moodle (CVE-2011-4297)
Gravedad:
MediaMedia
Publication date: 16/07/2012
Last modified:
01/12/2020
Descripción:
comment/lib.php en Moodle v2.0.x anterior a v2.0.4 y v2.1.x anterior a v2.1.1 no restringe adecuadamente las capacidades de comentarios, lo que permite a atacantes remotos para escribir un comentario, aprovechando el papel de la huésped y el funcionamiento de una actividad de primera página
Vulnerabilidad en Moodle (CVE-2011-4304)
Gravedad:
MediaMedia
Publication date: 11/07/2012
Last modified:
01/12/2020
Descripción:
La funcionalidad de chat en Moodle v2.0.x antes de v2.0.5 y v2.1.x antes de v2.1.2 permite descubrir el nombre de cualquier usuario a usuarios remotos autenticados a través de una operación 'beep'.
Vulnerabilidad en Moodle (CVE-2011-4298)
Gravedad:
MediaMedia
Publication date: 11/07/2012
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en mod/wiki/components en Moodle antes de v2.0.5 y v2.1.x antes de v.2.1.2, permite a atacantes remotos secuestrar la autenticación de usuarios de su elección en peticiones que modifican datos wiki.
Vulnerabilidad en Moodle (CVE-2011-4299)
Gravedad:
MediaMedia
Publication date: 11/07/2012
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en mod/wiki/pagelib.php en Moodle antes de v2.0.5 y v2.1.x antes de v.2.1.2, permite a usuarios autenticados remotamente inyectar secuencias de comandos web o HTML a través de un comentario de wiki.
Vulnerabilidad en Moodle (CVE-2011-4300)
Gravedad:
MediaMedia
Publication date: 11/07/2012
Last modified:
01/12/2020
Descripción:
El componente file_browser en Moodle v2.0.x antes de v2.0.5 y v2.1.x antes de v2.1.2 no restringe debidamente el acceso a los datos de categoría y curso, lo que permite a atacantes remotos obtener información sensible a través de una solicitud de un archivo.
Vulnerabilidad en Moodle (CVE-2011-4301)
Gravedad:
MediaMedia
Publication date: 11/07/2012
Last modified:
01/12/2020
Descripción:
La clase MoodleQuickForm en la biblioteca de formularios en lib/formslib.php en Moodle v1.9.x antes de v1.9.14, v2.0.x antes de v2.0.5 y v2.1.x antes de v2.1.2 no reconoce las operaciones setConstant de Forms API, lo que permite a atacantes remotos presentar el contenido de forma inesperada mediante la modificación de los valores de los campos constantes.
Vulnerabilidad en Moodle (CVE-2011-4302)
Gravedad:
MediaMedia
Publication date: 11/07/2012
Last modified:
01/12/2020
Descripción:
mnet/xmlrpc/client.php en MNET en Moodle v1.9.x antes de v1.9.14, v2.0.x antes de v2.0.5, v2.1.2 antes de v2.1.x, no procesa correctamente el valor de retorno de la función openssl_verify, lo que permite a atacantes remotos evitar la validación a través de un certificado modificado.
Vulnerabilidad en Moodle (CVE-2011-4303)
Gravedad:
MediaMedia
Publication date: 11/07/2012
Last modified:
01/12/2020
Descripción:
lib/db/upgrade.php en Moodle v2.0.x antes de v2.0.5 y v2.1.x antes de v2.1.2 no establece el valor de registration_hubs.secret adecuado durante la instalación, lo que permite a atacantes remotos eludir restricciones de acceso aprovechando la característica de los concentradores.
Vulnerabilidad en refresh.php en Moodle (CVE-2011-4305)
Gravedad:
MediaMedia
Publication date: 11/07/2012
Last modified:
01/12/2020
Descripción:
message/refresh.php en Moodle v1.9.x antes de v1.9.14 permite a usuarios remotos autenticados provocar una denegación de servicio (bucle infinito de peticiones) a través de una dirección URL que especifica un tiempo de espera cero para el refresco de mensajes.
Vulnerabilidad en editsection.html en Moodle (CVE-2011-4306)
Gravedad:
MediaMedia
Publication date: 11/07/2012
Last modified:
01/12/2020
Descripción:
Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en course/editsection.html en Moodle v1.9.x antes de v1.9.14 permite a usuarios remotos autenticados inyectar secuencias de comandos web o HTML a través de datos debidamente modificados.
Vulnerabilidad en wiki.php en Moodle (CVE-2011-4307)
Gravedad:
MediaMedia
Publication date: 11/07/2012
Last modified:
01/12/2020
Descripción:
Una vulnerabilidad de ejecución de comandos en sitios cruzados(XSS) en mod/wiki/lang/es/wiki.php en Moodle v2.0.x antes de v2.0.5 y v2.1.x antes de v2.1.2 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del parámetro 'section'.
Vulnerabilidad en user.php en Moodle (CVE-2011-4308)
Gravedad:
MediaMedia
Publication date: 11/07/2012
Last modified:
01/12/2020
Descripción:
mod/forum/user.php en Moodle v1.9.x antes de v1.9.14, v2.0.x antes de v2.0.5 y v2.1.x antes de v2.1.2 permite descubrir los nombres de otros usuarios a usuarios remotos autenticados a través de vectores no especificados.
Vulnerabilidad en Moodle (CVE-2011-4309)
Gravedad:
MediaMedia
Publication date: 11/07/2012
Last modified:
01/12/2020
Descripción:
Moodle v2.0.x antes de v2.0.5 y v2.1.x antes de v2.1.2 permite a atacantes remotos eludir restricciones de acceso y realizar búsquedas globales, aprovechandose del rol de invitado y hacer una petición directa a una dirección URL.
Vulnerabilidad en Moodle (CVE-2011-4203)
Gravedad:
MediaMedia
Publication date: 22/12/2011
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de inyección en CRLF en ficheros calendar/set.php en el componente Calendar en Moodle v1.9.x anteriores a v1.9.15, v2.0.x anteriores a v2.0.6, v2.1.x anteriores a v2.1.3, y v2.2 permiten a atacantes remotos injectar cabeceras HTTP de su elección y realizar ataques de división de respuesta HTTP a través de vectores de ataque en los que participa la variable de url.
Vulnerabilidad en interfase de control de acceso MNET en Moodle (CVE-2010-2228)
Gravedad:
MediaMedia
Publication date: 28/06/2010
Last modified:
01/12/2020
Descripción:
vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en la interfase de control de acceso MNET en Moodle anteriores a v1.8.13 y v1.9.x anteriores a v1.9.9, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores que implican caracteres extendidos en el nombre de usuario.
Vulnerabilidad en blogindex.php en Moodle (CVE-2010-2229)
Gravedad:
MediaMedia
Publication date: 28/06/2010
Last modified:
01/12/2020
Descripción:
vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en blog/index.php en Moodle anteriores a v1.8.13 y v1.9.x anteriores a v1.9.9, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de parámetros no especificados.
Vulnerabilidad en KSES en libweblib.php en Moodle (CVE-2010-2230)
Gravedad:
MediaMedia
Publication date: 28/06/2010
Last modified:
01/12/2020
Descripción:
El filtro de limpieza de KSES en lib/weblib.php en Moodle anteriores a v1.8.13 y v1.9.x anteriores a v1.9.9 no gestiona de forma adecuada direcciones URI vbscript, lo que permite a usuarios autenticados remotos conducir un ataque ejecución de secuencias de comandos (XSS) través de una entrada HTML.
Vulnerabilidad en reportoverviewreport.php en el módulo quiz en Moodle (CVE-2010-2231)
Gravedad:
MediaMedia
Publication date: 28/06/2010
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en report/overview/report.php en el módulo quiz en Moodle anteriores a v1.8.13 y v1.9.x anteriores a v1.9.9, permite a atacantes remotos secuestrar la autenticación de usuarios de su elección que borran intentos del test a través del parámetro attempid.
Vulnerabilidad en Moodle (CVE-2010-1616)
Gravedad:
MediaMedia
Publication date: 29/04/2010
Last modified:
01/12/2020
Descripción:
Moodle v1.8.x y v1.9.x anterior a v1.9.8 puede crear nuevos roles al restaurar un curso, lo cual permite a los profesores crear nuevas cuentas, incluso si no tienen permisos moodle/user:create.
Vulnerabilidad en Moodle (CVE-2010-1613)
Gravedad:
MediaMedia
Publication date: 29/04/2010
Last modified:
01/12/2020
Descripción:
Moodle v1.8.x y v1.9.x anterior a v1.9.8 no habilita el "Regenerate session id during login" (regenerar id de sesión al acceder) como configuración por defecto, lo cual facilita a los atacantes remotos realizar ataques de fijación de sesión.
Vulnerabilidad en Moodle (CVE-2010-1614)
Gravedad:
MediaMedia
Publication date: 29/04/2010
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en Moodle v1.8.x antes de v1.8.12 y v1.9.x antes de v1.9.8 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores relacionados con (1) la característica Login-As (2) cuando la función de búsqueda global está habilitada, formularios de búsqueda global sin especificar enel motor de búsqueda global (Global Search Engine) NOTA: el vector 1 podría ser resultante de una vulnerabilidad de falsificación de petición en sitios cruzados (CSRF).
Vulnerabilidad en Moodle (CVE-2010-1615)
Gravedad:
AltaAlta
Publication date: 29/04/2010
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de inyección SQL en Moodle v1.8.x anterior a v1.8.12 y v1.9.x anterior a v1.9.8 permite a atacantes remotos ejecutar comandos SQL a través de vectores relacionados con (1) la función add_to_log en mod/wiki/view.php en el módulo wiki, o (2) "la validación de datos en algunos elementos de formularios" relacionado con lib/form/selectgroups.php.
Vulnerabilidad en Moodle (CVE-2010-1617)
Gravedad:
MediaMedia
Publication date: 29/04/2010
Last modified:
01/12/2020
Descripción:
user/view.php en Moodle v1.8.x anterior a v1.8.12 y v1.9.x anterior a v1.9.8 no comprueba correctamente un rol, lo cual permite a usuarios remotos autenticados obtener los nombres completos de otros usuarios a través de la página del perfil del curso.
Vulnerabilidad en Moodle (CVE-2010-1618)
Gravedad:
MediaMedia
Publication date: 29/04/2010
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en la biblioteca de cliente phpCAS anterior a v1.1.0, utilizado en Moodle v1.8.x anterior a v1.8.12 y v1.9.x anterior a v1.9.8, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de una URL manipulada, que no es manejado apropiadamente en un mensaje de error.
Vulnerabilidad en Moodle (CVE-2010-1619)
Gravedad:
MediaMedia
Publication date: 29/04/2010
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en la función fix_non_standard_entities en la biblioteca de limpieza de texto KSES HTML (weblib.php), utilizado en Moodle v1.8.x antes de v1.8.12 y v1.9.x antes de v1.9.8, permite a atacantes remotos la ejecución de secuencias de comandos web o HTML a través de entidades HTML manipuladas.
Vulnerabilidad en Moodle (CVE-2009-4297)
Gravedad:
MediaMedia
Publication date: 15/12/2009
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de falsificación de petición en sitios cruzados (CSRF) en en Moodle v1.8 anteriores a v1.8.11 y v1.9 anteriores a v1.9.7 permite a atacantes remotos secuestrar la autenticación de victimas inespecíficas a través de vectores desconocidos.
Vulnerabilidad en modulo LAMS (modlams) para en Moodle (CVE-2009-4298)
Gravedad:
MediaMedia
Publication date: 15/12/2009
Last modified:
01/12/2020
Descripción:
El modulo LAMS (mod/lams) para en Moodle v1.8 anteriores a v1.8.11 y v1.9 anteriores a v1.9.7 almacena los campos (1) nombre de usuarios, (2) nombre, y (3) apellidos dentro de la tabla de usuario, lo que permite a los atacantes obtener la información de la cuenta de usuario a través de vectores desconocidos.
Vulnerabilidad en modglossaryshowentry.php en el modulo Glossary en Moodle (CVE-2009-4299)
Gravedad:
MediaMedia
Publication date: 15/12/2009
Last modified:
01/12/2020
Descripción:
mod/glossary/showentry.php en el modulo Glossary en Moodle v1.8 anteriores a v1.8.11 y v1.9 anteriores a v1.9.7 no gestiona adecuadamente el acceso, lo que permite a atacantes leer entradas de "Glossary" sin autorizacion a traves de vectores desconocidos.
Vulnerabilidad en Moodle (CVE-2009-4300)
Gravedad:
MediaMedia
Publication date: 15/12/2009
Last modified:
01/12/2020
Descripción:
Múltiples plugins de autenticación sin especificar en Moodle v1.8 anteriores a v1.8.11 y v1.9 anteriores a v1.9.7 almacenan los hash MD5 para las contraseñas en la tabla de usuario, incluso cuando los hashes que se cachean no son utilizados por el plugin, lo que haría mas fácil a atacantes obtener credenciales a través de vectores sin especificar.
Vulnerabilidad en mnetlib.php en Moodle (CVE-2009-4301)
Gravedad:
MediaMedia
Publication date: 15/12/2009
Last modified:
01/12/2020
Descripción:
mnet/lib.php en Moodle v1.8 anteriores a v1.8.11 y v1.9 anteriores a v1.9.7, cuando los servicios MNET están activados, no chequea adecuadamente los permisos, lo que permite a servidores remotos autenticados ejecutar funciones MNET arbitrarias.
Vulnerabilidad en loginindex_form.html en Moodle (CVE-2009-4302)
Gravedad:
MediaMedia
Publication date: 15/12/2009
Last modified:
01/12/2020
Descripción:
login/index_form.html en Moodle v1.8 anteriores a v1.8.11 y v1.9 anteriores a v1.9.7 enlaza a una pagina inicial en un puerto HTTP incluso cuando la pagina es servida desde un puerto HTTPS, lo que podría causar que las credenciales fuesen enviadas en texto plano, incluso cuando el envío SSl este previsto, lo que permitiría atacantes obtener esas credenciales mediante la interceptación.
Vulnerabilidad en Moodle (CVE-2009-4303)
Gravedad:
MediaMedia
Publication date: 15/12/2009
Last modified:
01/12/2020
Descripción:
Moodle v1.8 anteriores a v1.8.11 y v1.9 anteriores a v1.9.7 almacena (1) los hashes de las contraseñas y (2) "secretos" sin especificar en ficheros de copias de seguridad, lo que permitiría a atacantes obtener información sensible.
Vulnerabilidad en Moodle (CVE-2009-4304)
Gravedad:
AltaAlta
Publication date: 15/12/2009
Last modified:
01/12/2020
Descripción:
Moodle v1.8 anteriores a v1.8.11 y v1.9 anteriores a v1.9.7 no utiliza variación aleatorio de contraseñas en config.php, lo que hace mas facil para los atacantes dirigir un ataque de fuerza bruta contra la contraseña.
Vulnerabilidad en SCORM en Moodle (CVE-2009-4305)
Gravedad:
MediaMedia
Publication date: 15/12/2009
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de inyección en el módulo SCORM en Moodle v1.8 anteriores a v1.8.11 y v1.9 anteriores a la v1.9.7 permite a usuarios remotos autenticados ejecutar comandos SQL arbitrarios a través de de vectores relacionados con un "asunto de escapado cuando se procesa un fichero AICC CRS (Course_Title)."
Vulnerabilidad en Moodle (CVE-2009-1171)
Gravedad:
MediaMedia
Publication date: 30/03/2009
Last modified:
01/12/2020
Descripción:
El filtro TeX en Moodle v1.6 anteriores a v1.6.9+, v1.7 anteriores a v1.7.7+, v1.8 anteriores a v1.8.9, y v1.9 anteriores a v1.9.5 permite a atacantes con la intervención del usuario leer ficheros de su elección mediante un comando "input" en secuencia con "$$", provocando que LaTeX incluya el contenido del fichero.
Vulnerabilidad en código del foro de Moodle (CVE-2009-0499)
Gravedad:
MediaMedia
Publication date: 09/02/2009
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en el código del foro de Moodle v1.7 anterior a v1.7.7, v1.8 anterior a v1.8.8 y v1.9 anterior a v1.9.4; permite a atacantes remotos eliminar los mensajes del foro no autorizados a través de un enlace o etiqueta IMG en post.php.
Vulnerabilidad en característica de exportar el Calendario de Moodle (CVE-2009-0501)
Gravedad:
MediaMedia
Publication date: 09/02/2009
Last modified:
01/12/2020
Descripción:
Vulnerabilidad no especificada en la característica de exportar el Calendario (Calendar) de Moodle v1.8 anterior a v1.8.8 y v1.9 anterior a v1.9.4; permite a atacantes obtener información sensible y provocar "ataques por fuerza bruta en las cuentas de los usuarios" a través de vectores desconocidos.
Vulnerabilidad en archivo courselib.php en Moodle (CVE-2009-0500)
Gravedad:
MediaMedia
Publication date: 09/02/2009
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en el archivo course/lib.php en Moodle v1.6 anteriores a la v1.6.9, v1.7 anteriores a v1.7.7, v1.8 anteriores a v1.8.8, y v1.9 anteriores a v1.9.4, que permite a los atacantes remotos inyectar arbitrariamente una secuencia de comandos web o HTML a través de una tabla de información log manipulada que no está manejada adecuadamente cuando es mostrada en un informe log.
Vulnerabilidad en blockshtmlblock_html.php en Snoopy (CVE-2009-0502)
Gravedad:
MediaMedia
Publication date: 09/02/2009
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en blocks/html/block_html.php en Snoopy v1.2.3, como la utilizada en el Moodle v1.6 anterior a v1.6.9, v1.7 anterior a v1.7.7, v1.8 anterior a v1.8.8, y v1.9 anterior a v1.9.4, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de un bloqueo HTML que no es manejado correctamente cuando la característica "Login as" es utilizada para visitar una página MyMoodle o Blog.
Vulnerabilidad en Moodle (CVE-2008-5432)
Gravedad:
MediaMedia
Publication date: 11/12/2008
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en Moodle antes de 1.6.8, 1.7 antes de 1.7.6, 1.8 antes de 1.8.7, y 1.9 despues de 1.9.3 permite a atacantes remotos inyectar secuencias de comando web o HTML de su elección a través de un nombre de página Wiki (alias título de página).
Vulnerabilidad en blogedit.php en Moodle (CVE-2008-3326)
Gravedad:
BajaBaja
Publication date: 25/07/2008
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en blog/edit.php en Moodle 1.6.x anterior a 1.6.7 y 1.7.x anterior a 1.7.5, permite a atacantes remotos inyectar secuencias de comandos Web o HTML de su elección mediante el parámetro etitle (título de la entrada del blog - blog entry title).
CVE-2008-1502
Gravedad:
MediaMedia
Publication date: 25/03/2008
Last modified:
01/12/2020
Descripción:
La función _bad_protocol_once en el archivo phpgwapi/inc/class.kses.inc.php en KSES, como es usado en eGroupWare versiones anteriores a 1.4.003, Moodle versiones anteriores a 1.8.5 y otros productos, permite a los atacantes remotos omitir el filtrado de HTML y conducir ataques de tipo cross-site scripting (XSS) por medio de una cadena que contiene protocolos URL especialmente diseñados.
CVE-2006-4935
Gravedad:
AltaAlta
Publication date: 22/09/2006
Last modified:
01/12/2020
Descripción:
El módulo Database en Moodle anterior a 1.6.2 no maneja adecuadamente la actualización de ficheros, lo que permite un impacto no especificado y ataques de vectores remotos.
CVE-2006-4936
Gravedad:
AltaAlta
Publication date: 22/09/2006
Last modified:
01/12/2020
Descripción:
Moodle anterior a 1.6.2 no valida adecuadamente el modulo de instancia id cuando crea un objeto del módulo en curso, lo cual tiene un impacto no especificado y vectores remotos de ataque.
CVE-2006-4937
Gravedad:
MediaMedia
Publication date: 22/09/2006
Last modified:
01/12/2020
Descripción:
lib/setup.php en Moodle anterior a 1.6.2 fija el nivel del informe de error a 7 a mostrar los mensajes E_WARNING a los usuarios si la depuración está desactivada,lo cual permite a los usuarios remotos validados obtener información sensible disparando los mensajes.
CVE-2006-4938
Gravedad:
MediaMedia
Publication date: 22/09/2006
Last modified:
01/12/2020
Descripción:
help.php en Moodle before 1.6.2 no valida la existencia de ciertos ficheros de ayuda antes de incluirlos, lo cual permitiría a usuarios remotos validados obtener la ruta en un mensaje de error.
CVE-2006-4939
Gravedad:
MediaMedia
Publication date: 22/09/2006
Last modified:
01/12/2020
Descripción:
backup/backup_scheduled.php en Moodle anterior a 1.6.2 genera un rastro de datos con el nombre de la ruta de la copia de seguridad siempre que el depurador se encuentre desactivado, lo cual podría permitir a un atacante obtener el nombre de la ruta.
CVE-2006-4940
Gravedad:
MediaMedia
Publication date: 22/09/2006
Last modified:
01/12/2020
Descripción:
login/forgot_password.php en Moodle anterior a 1.6.2 permite a un atacante remoto obtener información sensible (dirección de correo electrónico y nombres de la cuentas en Moodle) a través de una acción de búsqueda.
CVE-2006-4941
Gravedad:
MediaMedia
Publication date: 22/09/2006
Last modified:
01/12/2020
Descripción:
Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en Moodle anteriores a 1.6.2 podrían permitir a un atacante remoto inyectar secuencias de comandos web o HTML de su elección a través de (1) el parámetro choose en files/index.php y(2) el parámetro sub en doc/index.php.
CVE-2006-4942
Gravedad:
MediaMedia
Publication date: 22/09/2006
Last modified:
01/12/2020
Descripción:
Moodle anterior a 1.6.2, cuando la configuración no tiene (1) algebra o (2) filtros de texto, permite a un usuario validado escribir ficheros de salida LaTex o MimeTex al nivel más alto del directorio dataroot a través de (a) filter/algebra/pix.php o (b) filter/tex/pix.php.
CVE-2006-4943
Gravedad:
MediaMedia
Publication date: 22/09/2006
Last modified:
01/12/2020
Descripción:
course/jumpto.php en Moodle anterior a 1.6.2 no valida la llave de sesión (sesskey) antes de proporcionar el contenido de URIs locales de su elección, que permite que atacantes remotos obtengan información sensible a través del parámetro jump.
CVE-2004-0725
Gravedad:
MediaMedia
Publication date: 27/07/2004
Last modified:
01/12/2020
Descripción:
Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en help.php de Moodle 1.3.2 y 1.4 dev permite a atacantes remotos inyectar script web o HTML de su elección mediante el parámetro fichero.