CVE-2021-32476
https://notcve.org/view.php?id=CVE-2021-32476
A denial-of-service risk was identified in the draft files area, due to it not respecting user file upload limits. Moodle versions 3.10 to 3.10.3, 3.9 to 3.9.6, 3.8 to 3.8.8, 3.5 to 3.5.17 and earlier unsupported versions are affected. Se ha identificado un riesgo de denegación de servicio en el área de archivos borrador, debido a que no respeta los límites de subida de archivos de los usuarios. Están afectadas las versiones de Moodle versiones 3.10 a 3.10.3, 3.9 a 3.9.6, 3.8 a 3.8.8, 3.5 a 3.5.17 y versiones anteriores no soportadas • https://moodle.org/mod/forum/discuss.php?d=422310 • CWE-770: Allocation of Resources Without Limits or Throttling •
CVE-2021-32478
https://notcve.org/view.php?id=CVE-2021-32478
The redirect URI in the LTI authorization endpoint required extra sanitizing to prevent reflected XSS and open redirect risks. Moodle versions 3.10 to 3.10.3, 3.9 to 3.9.6, 3.8 to 3.8.8 and earlier unsupported versions are affected. El URI de redireccionamiento en el endpoint de autorización de LTI requería un saneamiento adicional para evitar los riesgos de tipo XSS reflejado y redireccionamiento abierto. Moodle versiones 3.10 a 3.10.3, 3.9 a 3.9.6, 3.8 a 3.8.8 y las versiones anteriores no soportadas están afectadas • https://moodle.org/mod/forum/discuss.php?d=422314 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVE-2022-0335
https://notcve.org/view.php?id=CVE-2022-0335
A flaw was found in Moodle in versions 3.11 to 3.11.4, 3.10 to 3.10.8, 3.9 to 3.9.11 and earlier unsupported versions. The "delete badge alignment" functionality did not include the necessary token check to prevent a CSRF risk. Se ha encontrado un fallo en Moodle en las versiones 3.11 hasta 3.11.4, versiones 3.10 hasta 3.10.8, versiones 3.9 hasta 3.9.11 y versiones anteriores no soportadas. La funcionalidad "delete badge alignment" no incluía la comprobación de tokens necesaria para evitar un riesgo de tipo CSRF • https://bugzilla.redhat.com/show_bug.cgi?id=2043666 https://moodle.org/mod/forum/discuss.php?d=431103 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2022-0333
https://notcve.org/view.php?id=CVE-2022-0333
A flaw was found in Moodle in versions 3.11 to 3.11.4, 3.10 to 3.10.8, 3.9 to 3.9.11 and earlier unsupported versions. The calendar:manageentries capability allowed managers to access or modify any calendar event, but should have been restricted from accessing user level events. Se ha encontrado un fallo en Moodle versiones 3.11 hasta 3.11.4, versiones 3.10 hasta 3.10.8, versiones 3.9 hasta 3.9.11 y versiones anteriores no soportadas. La capacidad calendar:manageentries permitía a administradores acceder o modificar cualquier evento del calendario, pero debería haberse restringido el acceso a los eventos de nivel de usuario • https://bugzilla.redhat.com/show_bug.cgi?id=2043663 https://moodle.org/mod/forum/discuss.php?d=431100 • CWE-863: Incorrect Authorization •
CVE-2022-0334
https://notcve.org/view.php?id=CVE-2022-0334
A flaw was found in Moodle in versions 3.11 to 3.11.4, 3.10 to 3.10.8, 3.9 to 3.9.11 and earlier unsupported versions. Insufficient capability checks could lead to users accessing their grade report for courses where they did not have the required gradereport/user:view capability. Se encontró un fallo en Moodle versiones 3.11 hasta 3.11.4, versiones 3.10 hasta 3.10.8, versiones 3.9 hasta 3.9.11 y versiones anteriores no soportadas. Una comprobación insuficiente de las capacidades podía conllevar a que usuarios accedieran a su informe de calificaciones para cursos en los que no tenían la capacidad gradereport/user:view requerida • https://bugzilla.redhat.com/show_bug.cgi?id=2043664 https://moodle.org/mod/forum/discuss.php?d=431102 • CWE-668: Exposure of Resource to Wrong Sphere CWE-863: Incorrect Authorization •