CH azonosító
CH-11945Angol cím
Moodle vulnerabilitiesFelfedezés dátuma
2015.01.18.Súlyosság
KözepesÖsszefoglaló
A Moodle több sérülékenysége került javításra. A sebezhetőségek XSS-alapú és szolgáltatásmegtagadási támadásokat, valamint biztonsági korlátozások megszegését segíthetik elő a támadók számára.
Leírás
A fejlesztők az alábbi sérülékenységeket orvosolták:
1. Az egyik jóváhagyási felület nem kellő mértékű ellenőrzése, amely tetszőleges HTML és script kódok futtatását teheti lehetővé.
2. HTTP-kérések esetenkénti nem megfelelő ellenőrzése
3. Egyes webszolgáltatások esetében hibás az üzenetkezelő függvényekhez való hozzáférések szabályozása.
4. Hozzáféréskezelési problémák a naptár esetében.
5. RISK_XSS hiba
6. Reguláris kifejezések hibás kezelése a multimédiás szűrő esetében.
Megoldás
A Moodle 2.8.2-es, 2.7.3-as vagy a 2.6.6-os verzióira történő frissítés.
Támadás típusa
Cross Site Scripting (XSS/CSS)Deny of service (Szolgáltatás megtagadás)
Information disclosure (Információ/adat szivárgás)
Privilege escalation (jogosultság kiterjesztés)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.isbk.hu
Gyártói referencia: moodle.org
Gyártói referencia: moodle.org
Gyártói referencia: moodle.org
Gyártói referencia: moodle.org
Gyártói referencia: moodle.org
Gyártói referencia: moodle.org
CVE-2015-0212 - NVD CVE-2015-0212
CVE-2015-0213 - NVD CVE-2015-0213
CVE-2015-0214 - NVD CVE-2015-0214
CVE-2015-0215 - NVD CVE-2015-0215
CVE-2015-0216 - NVD CVE-2015-0216
CVE-2015-0217 - NVD CVE-2015-0217