CH azonosító
CH-12247Angol cím
Moodle vulnerabilitiesFelfedezés dátuma
2015.05.18.Súlyosság
MagasÖsszefoglaló
A Moodle esetében számos biztonsági hiba vált ismertté.
Leírás
Ezek a sérülékenységek jogosulatlan távoli műveletvégrehajtást, biztonsági megkötések megkerülését, adatlopást, adatmanipulációt, illetve XSS-alapú támadásokat is lehetővé tehetnek.
A fejlesztők az alábbi összetevők, funkciók kapcsán orvosoltak sérülékenységeket:
- XSS maszk (mod/quiz:grade)
- hibaüzenetek kezelése (átirányítások megakadályozása)
- a felhasználók teljes nevének elrejtése (self-registration esetén)
- eseménykezelés (event monitor)
- bemeneti paraméterek szűrése
- navigáció
- fájlfeltöltés (moodle/user:manageownfiles).
Megoldás
A 2.6.11, 2.7.8, 2.8.6, illetve a legújabb 2.9-es kiadások már nem tartalmazzák a fenti sérülékenységeket.
Támadás típusa
Cross Site Scripting (XSS/CSS)Information disclosure (Információ/adat szivárgás)
Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
execute arbitrary code
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: moodle.org
CVE-2015-3174 - NVD CVE-2015-3174
CVE-2015-3175 - NVD CVE-2015-3175
CVE-2015-3176 - NVD CVE-2015-3176
CVE-2015-3177 - NVD CVE-2015-3177
CVE-2015-3178 - NVD CVE-2015-3178
CVE-2015-3179 - NVD CVE-2015-3179
CVE-2015-3180 - NVD CVE-2015-3180
CVE-2015-3181 - NVD CVE-2015-3181