CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2020-25627
https://notcve.org/view.php?id=CVE-2020-25627
The moodlenetprofile user profile field required extra sanitizing to prevent a stored XSS risk. This affects versions 3.9 to 3.9.1. Fixed in 3.9.2. El campo de perfil de usuario de moodlenetprofile requería un saneamiento extra para omitir un riesgo de tipo XSS almacenado. Esto afecta a las versiones 3.9 hasta 3.9.1. • https://github.com/HoangKien1020/CVE-2020-25627 https://moodle.org/mod/forum/discuss.php?d=410839 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 4EXPL: 0CVE-2020-25628
https://notcve.org/view.php?id=CVE-2020-25628
The filter in the tag manager required extra sanitizing to prevent a reflected XSS risk. This affects 3.9 to 3.9.1, 3.8 to 3.8.4, 3.7 to 3.7.7, 3.5 to 3.5.13 and earlier unsupported versions. Fixed in 3.9.2, 3.8.5, 3.7.8 and 3.5.14. El filtro en el administrador de etiquetas requirió un saneamiento adicional para impedir un riesgo de XSS reflejado. Esto afecta a versiones 3.9 hasta 3.9.1, 3.8 hasta 3.8.4, 3.7 hasta 3.7.7, 3.5 hasta 3.5.13 y versiones anteriores no compatibles. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-69340 https://moodle.org/mod/forum/discuss.php?d=410840 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 4EXPL: 0CVE-2020-25629
https://notcve.org/view.php?id=CVE-2020-25629
A vulnerability was found in Moodle where users with "Log in as" capability in a course context (typically, course managers) may gain access to some site administration capabilities by "logging in as" a System manager. This affects 3.9 to 3.9.1, 3.8 to 3.8.4, 3.7 to 3.7.7, 3.5 to 3.5.13 and earlier unsupported versions. This is fixed in 3.9.2, 3.8.5, 3.7.8 and 3.5.14. Se encontró una vulnerabilidad en Moodle donde los usuarios con la capacidad "Log in as" en el contexto de un curso (típicamente, administradores de cursos) pueden obtener acceso a algunas funciones de administración del sitio mediante un "logging in as" un administrador del sistema. Esto afecta a versiones 3.9 hasta 3.9.1, 3.8 hasta 3.8.4, 3.7 hasta 3.7.7, 3.5 hasta 3.5.13 y versiones anteriores no compatibles. • https://moodle.org/mod/forum/discuss.php?d=410841 • CWE-284: Improper Access Control CWE-862: Missing Authorization •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2020-25630
https://notcve.org/view.php?id=CVE-2020-25630
A vulnerability was found in Moodle where the decompressed size of zip files was not checked against available user quota before unzipping them, which could lead to a denial of service risk. This affects versions 3.9 to 3.9.1, 3.8 to 3.8.4, 3.7 to 3.7.7, 3.5 to 3.5.13 and earlier unsupported versions. Fixed in 3.9.2, 3.8.5, 3.7.8 and 3.5.14. Se encontró una vulnerabilidad en Moodle donde el tamaño descomprimido de los archivos zip no se verificaba con la cuota de usuario disponible antes de descomprimirlos, lo que podría conducir a un riesgo de denegación de servicio. Esto afecta a las versiones 3.9 hasta 3.9.1, 3.8 hasta 3.8.4, 3.7 hasta 3.7.7, 3.5 hasta 3.5.13 y versiones anteriores no compatibles. • https://moodle.org/mod/forum/discuss.php?d=410842 • CWE-400: Uncontrolled Resource Consumption •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2020-25631
https://notcve.org/view.php?id=CVE-2020-25631
A vulnerability was found in Moodle 3.9 to 3.9.1, 3.8 to 3.8.4 and 3.7 to 3.7.7 where it was possible to include JavaScript in a book's chapter title, which was not escaped on the "Add new chapter" page. This is fixed in 3.9.2, 3.8.5 and 3.7.8. Se encontró una vulnerabilidad en Moodle versiones 3.9 hasta 3.9.1, 3.8 hasta 3.8.4 y 3.7 hasta 3.7.7, donde era posible incluir JavaScript en el título del capítulo de un libro, que no era escapado en la página "Add new chapter". Esto es corregido en las versiones 3.9.2, 3.8.5 y 3.7.8 • https://moodle.org/mod/forum/discuss.php?d=410843 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •