Moodle sérülékenységek – Nemzeti Kiberbiztonsági Intézet

NBSZ-NKI website

Moodle sérülékenységek

2015. július 14. 06:58

CH azonosító

CH-12427

Angol cím

Moodle vulnerabilities

Felfedezés dátuma

2015.07.13.

Súlyosság

Érintett rendszerek

Moodle
Moodle.Org

Érintett verziók

Moodle 2.7.x
Moodle 2.8.x
Moodle 2.9.x

Összefoglaló

A Moodle esetében számos biztonsági rés került felszínre, melyek XSS-alapú támadásokra, jogosulatlan rendszerhozzáférésekre és kódfuttatásokra adhatnak lehetőséget, amik végül adatlopásokhoz, illetve a rendszerek kompromittálásához vezethetnek.

Leírás

A fejlesztők az alábbi sérülékenységeket orvosolták:

Hiba a HTTP header kezelésben (ártalmas webes átirányításosok lehetősége). A probléma a PARAM_LOCALURL paraméter feldolgozását érinti.
Sebezhetőség a mod/forum:canposttomygroups esetében, amely a mod/forum/post.php fájlt érinti.
Bemeneti paraméterek esetenkénti nem megfelelő ellenőrzése, amely tetszőleges HTML és script kódok futtatását eredményezheti.
Sérülékenység a SCORM modulban, amelyben szintén ellenőrzési hiányosságok találhatóak.

Megoldás

A Moodle 2.7.9, 2.8.7 vagy 2.9.1 verziójára való frissítés.

Támadás típusa

Cross Site Scripting (XSS/CSS)
Information disclosure (Információ/adat szivárgás)
Manipulation of data
System access (Rendszer hozzáférés)
execute code

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: moodle.org
Egyéb referencia: isbk.hu
CVE-2015-3272 - NVD CVE-2015-3272
CVE-2015-3273 - NVD CVE-2015-3273
CVE-2015-3274 - NVD CVE-2015-3274
CVE-2015-3275 - NVD CVE-2015-3275

Legfrissebb sérülékenységek

CVE-2008-0015 – Microsoft Windows Video ActiveX Control Remote Code Execution sérülékenység

CVE-2024-7694 – TeamT5 ThreatSonar Anti-Ransomware Unrestricted Upload of File with Dangerous Type sérülékenység

CVE-2020-7796 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery sérülékenység

CVE-2026-1731 – BeyondTrust Remote Support (RS) and Privileged Remote Access (PRA) OS Command Injection sérülékenység

CVE-2026-2441 – Google Chromium CSS Use-After-Free sérülékenysége

CVE-2025-40536 – SolarWinds Web Help Desk Security Control Bypass sérülékenység

CVE-2025-15556 – Notepad++ Download of Code Without Integrity Check sérülékenység

CVE-2024-43468 – Microsoft Configuration Manager SQL Injection sérülékenység

CVE-2026-20700 – Apple Multiple Buffer Overflow sebezhetőség

CVE-2026-21514 – Microsoft Office Word Reliance on Untrusted Inputs in a Security Decision sérülékenység

Tovább a sérülékenységekhez »

Ugrás a tetejére