CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2021-43559
https://notcve.org/view.php?id=CVE-2021-43559
A flaw was found in Moodle in versions 3.11 to 3.11.3, 3.10 to 3.10.7, 3.9 to 3.9.10 and earlier unsupported versions. The "delete related badge" functionality did not include the necessary token check to prevent a CSRF risk. Se encontró un fallo en Moodle en versiones 3.11 a 3.11.3, 3.10 a 3.10.7, 3.9 a 3.9.10 y versiones anteriores no soportadas. La funcionalidad "delete related badge" no incluía la comprobación de tokens necesaria para evitar un riesgo de tipo CSRF • https://bugzilla.redhat.com/show_bug.cgi?id=2021517 https://moodle.org/mod/forum/discuss.php?d=429099 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.1EPSS: 0%CPEs: 6EXPL: 0CVE-2021-43558
https://notcve.org/view.php?id=CVE-2021-43558
A flaw was found in Moodle in versions 3.11 to 3.11.3, 3.10 to 3.10.7, 3.9 to 3.9.10 and earlier unsupported versions. A URL parameter in the filetype site administrator tool required extra sanitizing to prevent a reflected XSS risk. Se encontró un fallo en Moodle en versiones 3.11 a 3.11.3, 3.10 a 3.10.7, 3.9 a 3.9.10 y versiones anteriores no soportadas. Un parámetro de URL en la herramienta de administración del sitio filetype requería un saneamiento adicional para evitar un riesgo de un ataque de tipo XSS reflejado • https://bugzilla.redhat.com/show_bug.cgi?id=2021515 https://moodle.org/mod/forum/discuss.php?d=429097 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 3EXPL: 0CVE-2021-3943
https://notcve.org/view.php?id=CVE-2021-3943
A flaw was found in Moodle in versions 3.11 to 3.11.3, 3.10 to 3.10.7, 3.9 to 3.9.10 and earlier unsupported versions. A remote code execution risk when restoring backup files was identified. Se ha encontrado un fallo en Moodle en versiones 3.11 a 3.11.3, 3.10 a 3.10.7, 3.9 a 3.9.10 y versiones anteriores no soportadas. Se ha identificado un riesgo de ejecución de código remota cuando se restauran archivos de copia de seguridad • https://bugzilla.redhat.com/show_bug.cgi?id=2021963 https://moodle.org/mod/forum/discuss.php?d=429095 • CWE-20: Improper Input Validation •
CVSS: 8.8EPSS: 12%CPEs: 4EXPL: 3CVE-2020-14321 – Moodle Teacher Enrollment Privilege Escalation / Remote Code Execution
https://notcve.org/view.php?id=CVE-2020-14321
In Moodle before 3.9.1, 3.8.4, 3.7.7 and 3.5.13, teachers of a course were able to assign themselves the manager role within that course. En Moodle versiones anteriores a 3.9.1, 3.8.4, 3.7.7 y 3.5.13, los profesores de un curso podían asignarse a sí mismos el rol de administrador dentro de ese curso. • https://github.com/HoangKien1020/CVE-2020-14321 https://github.com/lanzt/CVE-2020-14321 https://github.com/f0ns1/CVE-2020-14321-modified-exploit https://moodle.org/mod/forum/discuss.php?d=407393 • CWE-863: Incorrect Authorization •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2019-14827
https://notcve.org/view.php?id=CVE-2019-14827
A vulnerability was found in Moodle where javaScript injection was possible in some Mustache templates via recursive rendering from contexts. Mustache helper tags that were included in template contexts were not being escaped before that context was injected into another Mustache helper, which could result in script injection in some templates. This affects versions 3.7 to 3.7.1, 3.6 to 3.6.5, 3.5 to 3.5.7 and earlier unsupported versions. Se encontró una vulnerabilidad en Moodle donde la inyección de javaScript era posible en algunas plantillas de Moustache por medio de la representación recursiva desde contextos. Las etiquetas de ayuda de Moustache que son incluidos en contextos de plantilla no se escaparon versiones anteriores a que ese contexto se inyectara en otro ayudante de Moustache, lo que podría resultar en una inyección de un script en algunas plantillas. • https://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-62284 https://moodle.org/mod/forum/discuss.php?d=391030 • CWE-94: Improper Control of Generation of Code ('Code Injection') •