CVSS: 6.5EPSS: 0%CPEs: 53EXPL: 0CVE-2017-7489
https://notcve.org/view.php?id=CVE-2017-7489
15 May 2017 — In Moodle 2.x and 3.x, remote authenticated users can take ownership of arbitrary blogs by editing an external blog link. En Moodle 2.x y 3.x, usuarios autenticados remotos pueden hacerse dueños de blogs arbitrarios mediante la edición de un enlace de blog externo. • https://moodle.org/mod/forum/discuss.php?d=352353 • CWE-269: Improper Privilege Management •
CVSS: 5.3EPSS: 0%CPEs: 53EXPL: 0CVE-2017-7490
https://notcve.org/view.php?id=CVE-2017-7490
15 May 2017 — In Moodle 2.x and 3.x, searching of arbitrary blogs is possible because a capability check is missing. En Moodle 2.x y 3.x, la búsqueda de blogs arbitrarios es posible debido a la falta de una comprobación de capacidades. • https://moodle.org/mod/forum/discuss.php?d=352354 • CWE-668: Exposure of Resource to Wrong Sphere •
CVSS: 4.3EPSS: 0%CPEs: 53EXPL: 0CVE-2017-7491
https://notcve.org/view.php?id=CVE-2017-7491
15 May 2017 — In Moodle 2.x and 3.x, a CSRF attack is possible that allows attackers to change the "number of courses displayed in the course overview block" configuration setting. En Moodle 2.x y 3.x, existe la posibilidad de que se produzca un ataque CSRF que permite a los atacantes cambiar el ajuste de configuración \"number of courses displayed in the course overview block\". • https://moodle.org/mod/forum/discuss.php?d=352355 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.5EPSS: 0%CPEs: 44EXPL: 0CVE-2016-3729
https://notcve.org/view.php?id=CVE-2016-3729
20 Apr 2017 — The user editing form in Moodle 3.0 through 3.0.3, 2.9 through 2.9.5, 2.8 through 2.8.11, 2.7 through 2.7.13, and earlier allows remote authenticated users to edit profile fields locked by the administrator. El formulario de edición de usuarios en Moodle 3.0 en versiones hasta 3.0.3, 2.9 en versiones hasta 2.9.5, 2.8 en versiones hasta 2.8.11, 2.7 en versiones hasta 2.7.13 y en versiones anteriores permite usuarios remotos autenticados editar los campos de perfil bloqueados por el administrador. • http://www.openwall.com/lists/oss-security/2016/05/17/4 • CWE-284: Improper Access Control •
CVSS: 5.3EPSS: 0%CPEs: 27EXPL: 0CVE-2016-3731
https://notcve.org/view.php?id=CVE-2016-3731
20 Apr 2017 — Moodle 3.0 through 3.0.3, 2.9 through 2.9.5, and 2.8 through 2.8.11 allows remote attackers to obtain the names of hidden forums and forum discussions. Moodle 3.0 en versiones hasta 3.0.3, 2.9 en versiones hasta 2.9.5 y 2.8 en versiones hasta 2.8.11 permite a atacantes remotos obtener los nombres de foros ocultos y discusiones de foro. • http://www.openwall.com/lists/oss-security/2016/05/17/4 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 44EXPL: 0CVE-2016-3732
https://notcve.org/view.php?id=CVE-2016-3732
20 Apr 2017 — The capability check to access other badges in Moodle 3.0 through 3.0.3, 2.9 through 2.9.5, 2.8 through 2.8.11, 2.7 through 2.7.13, and earlier allows remote authenticated users to read the badges of other users. La comprobación de capacidad para acceder a otros distintivos en Moodle 3.0 en versiones hasta 3.0.3, 2.9 en versiones hasta 2.9.5, 2.8 en versiones hasta 2.8.11, 2.7 en versiones hasta 2.7.13 y en versiones anteriores, permite a usuarios remotos autenticados leer los distintivos de otros usuarios. • http://www.openwall.com/lists/oss-security/2016/05/17/4 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 44EXPL: 0CVE-2016-3733
https://notcve.org/view.php?id=CVE-2016-3733
20 Apr 2017 — The "restore teacher" feature in Moodle 3.0 through 3.0.3, 2.9 through 2.9.5, 2.8 through 2.8.11, 2.7 through 2.7.13, and earlier allows remote authenticated users to overwrite the course idnumber. La función "restore teacher" en Moodle 3.0 en versiones hasta 3.0.3, 2.9 en versiones hasta 2.9.5, 2.8 en versiones hasta 2.8.11, 2.7 en versiones hasta 2.7.13 y en versiones anteriores, permite a usuarios remotos autenticados sobrescribir el idnumber del curso. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-51369 • CWE-284: Improper Access Control •
CVSS: 8.8EPSS: 0%CPEs: 44EXPL: 0CVE-2016-3734
https://notcve.org/view.php?id=CVE-2016-3734
20 Apr 2017 — Cross-site request forgery (CSRF) vulnerability in markposts.php in Moodle 3.0 through 3.0.3, 2.9 through 2.9.5, 2.8 through 2.8.11, 2.7 through 2.7.13 and earlier allows remote attackers to hijack the authentication of users for requests that marks forum posts as read. Vulnerabilidad CSRF en markposts.php en Moodle 3.0 en versiones hasta 3.0.3, 2.9 en versiones hasta 2.9.5, 2.8 en versiones hasta 2.8.11, 2.7 en versiones hasta 2.7.13 y en versiones anteriores, permite a atacantes remotos secuestrar la la a... • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-53755 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2017-7298
https://notcve.org/view.php?id=CVE-2017-7298
29 Mar 2017 — In Moodle 3.2.2+, there is XSS in the Course summary filter of the "Add a new course" page, as demonstrated by a crafted attribute of an SVG element. En Moodle 3.2.2+, hay XSS en el filtro de resumen del curso de la página "agregar un nuevo curso", como lo demuestra un atributo manipulado de un elemento SVG. • http://www.daimacn.com/index.php/post/12.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 3%CPEs: 52EXPL: 1CVE-2017-2641 – Moodle 2.x/3.x - SQL Injection
https://notcve.org/view.php?id=CVE-2017-2641
26 Mar 2017 — In Moodle 2.x and 3.x, SQL injection can occur via user preferences. En Moodle 2.x y 3.x, puede ocurrir una inyección de SQL a través de las preferencias de usuario. • https://www.exploit-db.com/exploits/41828 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •