CH azonosító
CH-12247Angol cím
Moodle vulnerabilitiesFelfedezés dátuma
2015.05.18.Súlyosság
MagasÖsszefoglaló
A Moodle esetében számos biztonsági hiba vált ismertté.
Leírás
Ezek a sérülékenységek jogosulatlan távoli műveletvégrehajtást, biztonsági megkötések megkerülését, adatlopást, adatmanipulációt, illetve XSS-alapú támadásokat is lehetővé tehetnek.
A fejlesztők az alábbi összetevők, funkciók kapcsán orvosoltak sérülékenységeket:
- XSS maszk (mod/quiz:grade)
- hibaüzenetek kezelése (átirányítások megakadályozása)
- a felhasználók teljes nevének elrejtése (self-registration esetén)
- eseménykezelés (event monitor)
- bemeneti paraméterek szűrése
- navigáció
- fájlfeltöltés (moodle/user:manageownfiles).
Megoldás
A 2.6.11, 2.7.8, 2.8.6, illetve a legújabb 2.9-es kiadások már nem tartalmazzák a fenti sérülékenységeket.
Támadás típusa
Cross Site Scripting (XSS/CSS)Information disclosure (Információ/adat szivárgás)
Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
execute arbitrary code
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: moodle.org
CVE-2015-3174 - NVD CVE-2015-3174
CVE-2015-3175 - NVD CVE-2015-3175
CVE-2015-3176 - NVD CVE-2015-3176
CVE-2015-3177 - NVD CVE-2015-3177
CVE-2015-3178 - NVD CVE-2015-3178
CVE-2015-3179 - NVD CVE-2015-3179
CVE-2015-3180 - NVD CVE-2015-3180
CVE-2015-3181 - NVD CVE-2015-3181