CVSS: 7.2EPSS: 0%CPEs: 4EXPL: 0CVE-2021-32474
https://notcve.org/view.php?id=CVE-2021-32474
An SQL injection risk existed on sites with MNet enabled and configured, via an XML-RPC call from the connected peer host. Note that this required site administrator access or access to the keypair. Moodle 3.10 to 3.10.3, 3.9 to 3.9.6, 3.8 to 3.8.8, 3.5 to 3.5.17 and earlier unsupported versions are affected. Se presentaba un riesgo de inyección SQL en sitios con MNet habilitado y configurado, por medio de una llamada XML-RPC desde el host par conectado. Tenga en cuenta que esto requería el acceso del administrador del sitio o el acceso al par de claves. • https://moodle.org/mod/forum/discuss.php?d=422308 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.4EPSS: 0%CPEs: 4EXPL: 0CVE-2021-32475
https://notcve.org/view.php?id=CVE-2021-32475
ID numbers displayed in the quiz grading report required additional sanitizing to prevent a stored XSS risk. Moodle 3.10 to 3.10.3, 3.9 to 3.9.6, 3.8 to 3.8.8, 3.5 to 3.5.17 and earlier unsupported versions are affected. Los números de identificación mostrados en el informe de calificación de los cuestionarios requerían un saneo adicional para evitar un riesgo de tipo XSS almacenado. Moodle versiones 3.10 a 3.10.3, 3.9 a 3.9.6, 3.8 a 3.8.8, 3.5 a 3.5.17 y versiones anteriores no soportadas están afectadas • https://moodle.org/mod/forum/discuss.php?d=422309 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2021-32477
https://notcve.org/view.php?id=CVE-2021-32477
The last time a user accessed the mobile app is displayed on their profile page, but should be restricted to users with the relevant capability (site administrators by default). Moodle versions 3.10 to 3.10.3 are affected. La última vez que un usuario accedió a la aplicación móvil es mostrado en su página de perfil, pero debería estar restringida a usuarios con la capacidad pertinente (administradores del sitio por defecto). Moodle versiones 3.10 a 3.10.3 están afectadas • https://moodle.org/mod/forum/discuss.php?d=422313 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-862: Missing Authorization •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2021-32472
https://notcve.org/view.php?id=CVE-2021-32472
Teachers exporting a forum in CSV format could receive a CSV of forums from all courses in some circumstances. Moodle versions 3.10 to 3.10.3, 3.9 to 3.9.6 and 3.8 to 3.8.8 are affected. Los profesores que exportan un foro en formato CSV podrían recibir un CSV de foros de todos los cursos en algunas circunstancias. Moodle versiones 3.10 a 3.10.3, 3.9 a 3.9.6 y 3.8 a 3.8.8 están afectadas • https://moodle.org/mod/forum/discuss.php?d=422305 • CWE-862: Missing Authorization •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2021-32478
https://notcve.org/view.php?id=CVE-2021-32478
The redirect URI in the LTI authorization endpoint required extra sanitizing to prevent reflected XSS and open redirect risks. Moodle versions 3.10 to 3.10.3, 3.9 to 3.9.6, 3.8 to 3.8.8 and earlier unsupported versions are affected. El URI de redireccionamiento en el endpoint de autorización de LTI requería un saneamiento adicional para evitar los riesgos de tipo XSS reflejado y redireccionamiento abierto. Moodle versiones 3.10 a 3.10.3, 3.9 a 3.9.6, 3.8 a 3.8.8 y las versiones anteriores no soportadas están afectadas • https://moodle.org/mod/forum/discuss.php?d=422314 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •