CH azonosító
CH-10383Angol cím
Moodle Security Bypass Security Issue and Cross-Site Request Forgery VulnerabilityFelfedezés dátuma
2014.01.19.Súlyosság
AlacsonyÖsszefoglaló
A Moodle két sérülékenysége vált ismertté, amelyeket kihasználva a rosszindulatú felhasználók megkerülhetnek bizonyos biztonsági korlátozásokat, a támadók pedig cross-site request forgery (CSRF/XSRF) támadásokat hajthatnak végre.
Leírás
- A “login-as” funkció egy hibája kihasználható egy másik csoporthoz tartozó felhasználóként történő bejelentkezésre.
- Az alkalmazás lehetővé teszi a felhasználók számára, hogy bizonyos műveleteket HTTP kéréseken keresztül hajtsanak végre a jogosultságok ellenőrzése nélkül. Ez kihasználható pl. egyedi profil mezők és kategóriák törlésére, ha a bejelentkezett felhasználó megtekint egy spaciálisan formázott weboldalt.
A sérülékenységeket a 2.3 – 2.3.10, 2.4 – 2.4.7, 2.5 – 2.5.4 és 2.6 verziókban jelenteték.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Security bypass (Biztonsági szabályok megkerülése)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: moodle.org
Gyártói referencia: moodle.org
CVE-2014-0009 - NVD CVE-2014-0009
CVE-2014-0010 - NVD CVE-2014-0010
SECUNIA 56556