Page 18 of 91 results (0.007 seconds)

CVSS: 8.8EPSS: 0%CPEs: 5EXPL: 0

A flaw was found in moodle versions 3.5 to 3.5.2, 3.4 to 3.4.5, 3.3 to 3.3.8, 3.1 to 3.1.14 and earlier. The login form is not protected by a token to prevent login cross-site request forgery. Fixed versions include 3.6, 3.5.3, 3.4.6, 3.3.9 and 3.1.15. Se ha encontrado un error en Moodle en las siguientes versiones: desde la 3.5 hasta la 3.5.2, desde la 3.4 hasta la 3.4.5, desde la 3.3 hasta la 3.3.8 y desde la 3.1 hasta la 3.1.14 y anteriores. El formulario de inicio de sesión no es protegido por un token para prevenir Cross-Site Request Forgery (CSRF) durante el inicio de sesión. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-63183 http://www.securityfocus.com/bid/106017 http://www.securitytracker.com/id/1042154 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-16854 https://moodle.org/mod/forum/discuss.php?d=378731 • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0

moodle before versions 3.5.2, 3.4.5, 3.3.8 is vulnerable to a boost theme - blog search GET parameter insufficiently filtered. The breadcrumb navigation provided by Boost theme when displaying search results of a blog were insufficiently filtered, which could result in reflected XSS if a user followed a malicious link containing JavaScript in the search parameter. moodle en versiones anteriores a la 3.5.2, 3.4.5 y 3.3.8 es vulnerable al filtrado insuficiente del parámetro GET de búsqueda de blogs y boost theme. La navegación por miga de pan proporcionada por el tema Boost al mostrar resultados de búsqueda de un blog no se filtró lo suficiente, lo que podría resultar en Cross-Site Scripting (XSS) reflejado si un usuario sigue un enlace malicioso que contiene JavaScript en el parámetro search. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-62857 http://www.securityfocus.com/bid/105371 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-14631 https://moodle.org/mod/forum/discuss.php?d=376025 • CWE-20: Improper Input Validation CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 8.8EPSS: 3%CPEs: 5EXPL: 2

moodle before versions 3.5.2, 3.4.5, 3.3.8, 3.1.14 is vulnerable to an XML import of ddwtos could lead to intentional remote code execution. When importing legacy 'drag and drop into text' (ddwtos) type quiz questions, it was possible to inject and execute PHP code from within the imported questions, either intentionally or by importing questions from an untrusted source. moodle en versiones anteriores a la 3.5.2, 3.4.5, 3.3.8 y 3.1.14 es vulnerable a una importación XML de ddwtos que podría conducir a la ejecución intencional de código de forma remota. Al importar preguntas heredadas de quiz de tipo "drag and drop into text" (ddwtos), era posible inyectar y ejecutar código PHP desde las preguntas importadas, ya sea de forma intencionada o importando preguntas de una fuente no fiable. Moodle versions 3.5.2, 3.4.5, 3.3.8, and 3.1.14 suffer from a remote php unserialize code execution vulnerability. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-62880 http://www.securityfocus.com/bid/105354 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-14630 https://moodle.org/mod/forum/discuss.php?d=376023 https://seclists.org/fulldisclosure/2018/Sep/28 https://www.sec-consult.com/en/blog/advisories/remote-code-execution-php-unserialize-moodle-open-source-learning-platform-cve-2018-14630 • CWE-20: Improper Input Validation CWE-94: Improper Control of Generation of Code ('Code Injection') •

CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0

A flaw was found in moodle before versions 3.5.1, 3.4.4, 3.3.7, 3.1.13. When a quiz question bank is imported, it was possible for the question preview that is displayed to execute JavaScript that is written into the question bank. Se ha encontrado un error en Moodle en versiones anteriores a la 3.5.1, 3.4.4, 3.3.7 y la 3.1.13. Cuando se importa un banco de preguntas de test, era posible que la previsualización de preguntas mostrada ejecute JavaScript que se escribe en el banco de preguntas. • http://www.securityfocus.com/bid/104739 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-10891 https://moodle.org/mod/forum/discuss.php?d=373371 • CWE-20: Improper Input Validation •

CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0

A flaw was found in moodle before versions 3.5.1, 3.4.4, 3.3.7, 3.1.13. It was possible for the core_course_get_categories web service to return hidden categories, which should be omitted when fetching course categories. Se ha encontrado un error en Moodle en versiones anteriores a la 3.5.1, 3.4.4, 3.3.7 y la 3.1.13. Era posible que el servicio web core_course_get_categories devolviese categorías ocultas, lo que debería omitirse al recuperar categorías de curso. • http://www.securityfocus.com/bid/104738 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-10890 https://moodle.org/mod/forum/discuss.php?d=373370 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •