CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2019-14884
https://notcve.org/view.php?id=CVE-2019-14884
A vulnerability was found in Moodle 3.7 before 3.73, 3.6 before 3.6.7 and 3.5 before 3.5.9, where a reflected XSS possible from some fatal error messages. Se detectó una vulnerabilidad en Moodle versiones 3.7 anteriores a 3.73, versiones 3.6 anteriores a 3.6.7 y versiones 3.5 anteriores a 3.5.9, donde es posible un ataque de tipo XSS reflejado a partir de algunos mensajes de error fatales. • https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14884 https://moodle.org/mod/forum/discuss.php?d=393587#p1586751 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2019-14883
https://notcve.org/view.php?id=CVE-2019-14883
A vulnerability was found in Moodle 3.6 before 3.6.7 and 3.7 before 3.7.3, where tokens used to fetch inline atachments in email notifications were not disabled when a user's account was no longer active. Note: to access files, a user would need to know the file path, and their token. Se detectó una vulnerabilidad en Moodle versiones 3.6 anteriores a 3.6.7 y versiones 3.7 anteriores a 3.7.3, donde los tokens usados para extraer archivos adjuntos en línea en notificaciones de correo electrónico no se desactivaron cuando una cuenta de un usuario ya no estaba activa. Nota: para acceder a los archivos, un usuario necesitaría conocer la ruta del archivo y su token. • https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14883 https://moodle.org/mod/forum/discuss.php?d=393586#p1586750 • CWE-285: Improper Authorization CWE-862: Missing Authorization •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2019-14882
https://notcve.org/view.php?id=CVE-2019-14882
A vulnerability was found in Moodle 3.7 to 3.7.3, 3.6 to 3.6.7, 3.5 to 3.5.9 and earlier where an open redirect existed in the Lesson edit page. Se detectó una vulnerabilidad en Moodle versiones 3.7 hasta 3.7.3, versiones 3.6 hasta 3.6.7, versiones 3.5 hasta 3.5.9 y anteriores, donde se presentaba un redireccionamiento abierto en la página de edición Lesson. • https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14882 https://moodle.org/mod/forum/discuss.php?d=393585#p1586747 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-1692
https://notcve.org/view.php?id=CVE-2020-1692
Moodle before version 3.7.2 is vulnerable to information exposure of service tokens for users enrolled in the same course. Moodle versiones anteriores a 3.7.2, es vulnerable a una exposición de información de los tokens de servicio para los usuarios inscritos en el mismo curso. • https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2020-1692 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2019-18210
https://notcve.org/view.php?id=CVE-2019-18210
Persistent XSS in /course/modedit.php of Moodle through 3.7.2 allows authenticated users (Teacher and above) to inject JavaScript into the session of another user (e.g., enrolled student or site administrator) via the introeditor[text] parameter. NOTE: the discoverer and vendor disagree on whether Moodle customers have a reasonable expectation that anyone authenticated as a Teacher can be trusted with the ability to add arbitrary JavaScript (this ability is not documented on Moodle's Teacher_role page). Because the vendor has this expectation, they have stated "this report has been closed as a false positive, and not a bug." ** EN DISPUTA ** Un vulnerabilidad de tipo XSS persistente en el archivo /course/modedit.php de Moodle versiones hasta 3.7.2, permite a usuarios autenticados (Teacher y superior) inyectar JavaScript en la sesión de otro usuario (por ejemplo, enrolled student o site administrator) por medio del parámetro introeditor[text]. NOTA: el descubridor y el suplidor no están de acuerdo sobre si los clientes de Moodle tienen una expectativa razonable de que cualquier persona autenticada como Teacher pueda ser confiable en la capacidad de agregar JavaScript arbitrario (esta capacidad no está documentada en la página Teacher_role de Moodle). Debido a que el suplidor tiene esta expectativa, ha declarado que "este informe se ha cerrado como un falso positivo y no como un error". • https://docs.moodle.org/38/en/Teacher_role https://gist.github.com/Danbardo/4a6b0fe8cb21ec6d7c54e6ac951bdb0a • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •