CH azonosító
CH-9234Angol cím
Moodle Multiple VulnerabilitiesFelfedezés dátuma
2013.05.20.Súlyosság
KözepesÖsszefoglaló
A Moodle több sérülékenységét jelentették, amelyek közül egynek ismeretlen hatása van, illetve amiket kihasználva a rosszindulatú felhasználók megkerülhetnek egyes biztonsági szabályokat, valamint a támadók bizalmas információkat szerezhetnek.
Leírás
- Az alkalmazás nem megfelelően ellenőrzi a jogosultságokat a ZIP fájlok letöltése során, amikor a diákok a feladatokat adják be. Ezt kihasználva le lehet tölteni egyébként nem engedélyezett feladatokat is. A sérülékenységet a 2.4 és 2.4.3 illetve a 2.3 és 2.3.6 közti verziókban jelentették.
- Az alkalmazás egy hibáját kihasználva, amely egy weboldalnak a hub-on történő regisztrálása során keletkezik, bizalmas információkat lehet szerezni.
- Az alkalmazás nem megfelelően ellenőrzi a jogosultságokat egy blog bejegyzéshez tartozó hozzászólások megtekintésekor. Ezt kihasználva egyébként nem elérhető hozzászólásokat is meg lehet ismerni.
- Bizonyos tömb paraméteren keresztül átadott nem részletezett bemeneti adat nem megfelelően van megtisztítva felhasználás előtt. Erről a sérülékenységről jelenleg nem áll rendelkezésre bővebb információ.
A 2-4. sérülékenységeket a 2.4 és 2.4.3, a 2.3 és 2.3.6 illetve a 2.2 és 2.2.9 közti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Misconfiguration (Konfiguráció)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Unknown (Ismeretlen)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: moodle.org
Gyártói referencia: moodle.org
Gyártói referencia: moodle.org
Gyártói referencia: moodle.org
CVE-2013-2079 - NVD CVE-2013-2079
CVE-2013-2081 - NVD CVE-2013-2081
CVE-2013-2082 - NVD CVE-2013-2082
CVE-2013-2083 - NVD CVE-2013-2083
SECUNIA 52522