CVSS: 8.8EPSS: 0%CPEs: 4EXPL: 0CVE-2020-10738
https://notcve.org/view.php?id=CVE-2020-10738
A flaw was found in Moodle versions 3.8 before 3.8.3, 3.7 before 3.7.6, 3.6 before 3.6.10, 3.5 before 3.5.12 and earlier unsupported versions. It was possible to create a SCORM package in such a way that when added to a course, it could be interacted with via web services in order to achieve remote code execution. Se encontró un fallo en Moodle versiones 3.8 anteriores a la versión 3.8.3, versiones 3.7 anteriores a 3.7.6, versiones 3.6 anteriores a 3.6.10, versiones 3.5 anteriores a 3.5.12 y versiones anteriores no compatibles. Fue posible crear un paquete SCORM de tal manera que cuando se agregara a un curso, podría interactuar con él por medio de servicios web a fin de lograr una ejecución de código remota. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-68410 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2020-10738 https://moodle.org/mod/forum/discuss.php?d=403513 • CWE-20: Improper Input Validation •
CVSS: 9.1EPSS: 0%CPEs: 3EXPL: 0CVE-2019-14880
https://notcve.org/view.php?id=CVE-2019-14880
A vulnerability was found in Moodle versions 3.7 before 3.7.3, 3.6 before 3.6.7, 3.5 before 3.5.9 and earlier. OAuth 2 providers who do not verify users' email address changes require additional verification during sign-up to reduce the risk of account compromise. Se detectó una vulnerabilidad en Moodle versiones 3.7 anteriores a 3.7.3, versiones 3.6 anteriores a 3.6.7, versiones 3.5 anteriores a 3.5.9. Los proveedores de OAuth 2 quienes no verifican los cambios en la dirección de correo electrónico de los usuarios requieren una verificación adicional durante el registro para reducir el riesgo de comprometer la cuenta. • https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14880 https://moodle.org/security • CWE-287: Improper Authentication •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2019-14881
https://notcve.org/view.php?id=CVE-2019-14881
A vulnerability was found in moodle 3.7 before 3.7.3, where there is blind XSS reflected in some locations where user email is displayed. Se detectó una vulnerabilidad en moodle versión 3.7 en versiones anteriores a la 3.7.3, donde se presenta un ataque de tipo XSS reflejado ciego en algunas ubicaciones donde el correo electrónico del usuario es mostrado. • https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14881 https://moodle.org/mod/forum/discuss.php?d=393584#p1586746 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2019-14884
https://notcve.org/view.php?id=CVE-2019-14884
A vulnerability was found in Moodle 3.7 before 3.73, 3.6 before 3.6.7 and 3.5 before 3.5.9, where a reflected XSS possible from some fatal error messages. Se detectó una vulnerabilidad en Moodle versiones 3.7 anteriores a 3.73, versiones 3.6 anteriores a 3.6.7 y versiones 3.5 anteriores a 3.5.9, donde es posible un ataque de tipo XSS reflejado a partir de algunos mensajes de error fatales. • https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14884 https://moodle.org/mod/forum/discuss.php?d=393587#p1586751 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2019-14883
https://notcve.org/view.php?id=CVE-2019-14883
A vulnerability was found in Moodle 3.6 before 3.6.7 and 3.7 before 3.7.3, where tokens used to fetch inline atachments in email notifications were not disabled when a user's account was no longer active. Note: to access files, a user would need to know the file path, and their token. Se detectó una vulnerabilidad en Moodle versiones 3.6 anteriores a 3.6.7 y versiones 3.7 anteriores a 3.7.3, donde los tokens usados para extraer archivos adjuntos en línea en notificaciones de correo electrónico no se desactivaron cuando una cuenta de un usuario ya no estaba activa. Nota: para acceder a los archivos, un usuario necesitaría conocer la ruta del archivo y su token. • https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14883 https://moodle.org/mod/forum/discuss.php?d=393586#p1586750 • CWE-285: Improper Authorization CWE-862: Missing Authorization •