CH azonosító
CH-11811Angol cím
Moodle security issuesFelfedezés dátuma
2014.11.18.Súlyosság
KözepesÖsszefoglaló
A Moodle fejlesztői újabb sebezhetőségeket orvosoltak. A szóban forgó hibák adatlopásra, XSS-alapú támadásokra és biztonsági megkötések megkerülésére adhatnak lehetőséget.
Leírás
A sérülékenységek az alábbi összetevőket, funkciókat érintik:
– az UTF7 kódolt bementeni paraméterek esetenkénti nem megfelelő ellenőrzése
– core_grades_get_grades webszolgáltatás
– forum_get_discussions webszolgáltatás
– hozzáféréskezelés a mod/lti/launch.php fájlban
– hozzáféréskezelés a mod/wiki/admin.php fájlban
– require_login() függvény (/mod/data/edit.php)
– LTI modul
– searchcourse paraméter kezelése a mod/feedback/mapcourse.php állományban.
Megoldás
Frissítsen a legújabb verzióraMegoldás
A 2.5.9, a 2.6.6 vagy a 2.7.3 verziókra történő frissítés.
Támadás típusa
Cross Site Scripting (XSS/CSS)Information disclosure (Információ/adat szivárgás)
Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.isbk.hu
Egyéb referencia: moodle.org
Egyéb referencia: moodle.org
Egyéb referencia: moodle.org
Egyéb referencia: moodle.org
Egyéb referencia: moodle.org
Egyéb referencia: moodle.org
Egyéb referencia: moodle.org
Egyéb referencia: moodle.org
CVE-2014-7830 - NVD CVE-2014-7830
CVE-2014-7831 - NVD CVE-2014-7831
CVE-2014-7832 - NVD CVE-2014-7832
CVE-2014-7833 - NVD CVE-2014-7833
CVE-2014-7834 - NVD CVE-2014-7834
CVE-2014-7835 - NVD CVE-2014-7835
CVE-2014-7836 - NVD CVE-2014-7836
CVE-2014-7837 - NVD CVE-2014-7837
CVE-2014-7838 - NVD CVE-2014-7838