Page 19 of 93 results (0.006 seconds)

CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1

Unrestricted file upload vulnerability in the "legacy course files" and "file manager" modules in Moodle 3.1.2 allows remote authenticated users to execute arbitrary code by uploading a file with an executable extension, and then accessing it via unspecified vectors. Vulnerabilidad de carga de archivos sin restricciones en los módulos "archivos de curso legados" y "administrador de archivos" en Moodle 3.1.2 permite a usuarios remotos autenticados ejecutar código arbitrario subiendo un archivo con una extensión ejecutable, y luego accediendo a él a través de vectores no especificados. • http://www.securityfocus.com/bid/94190 https://packetstormsecurity.com/files/139466/Moodle-CMS-3.1.2-Cross-Site-Scripting-File-Upload.html • CWE-434: Unrestricted Upload of File with Dangerous Type •

CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1

Unrestricted file upload vulnerability in the double extension support in the "image" module in Moodle 3.1.2 allows remote authenticated users to execute arbitrary code by uploading a file with an executable extension, and then accessing it via unspecified vectors. Vulnerabilidad de carga de archivos sin restricciones en el soporte de doble extensión en el módulo "imagen" en Moodle 3.1.2 permite a usuarios remotos autenticados ejecutar código arbitrario subiendo un archivo con una extensión ejecutable, y luego accediendo a él a través de vectores no especificados. • http://www.securityfocus.com/bid/94191 https://packetstormsecurity.com/files/139466/Moodle-CMS-3.1.2-Cross-Site-Scripting-File-Upload.html • CWE-434: Unrestricted Upload of File with Dangerous Type •

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1

Moodle 3.1.2 allows remote attackers to obtain sensitive information via unspecified vectors, related to a "SQL Injection" issue affecting the Administration panel function in the installation process component. NOTE: the vendor disputes the relevance of this report, noting that "the person who is installing Moodle must know database access credentials and they can access the database directly; there is no need for them to create a SQL injection in one of the installation dialogue fields. ** DISPUTADA ** Moodle 3.1.2 permite a atacantes remotos obtener información sensible a través de vectores no especificados, relacionados con un problema de "SQL Injection" que afecta a la función del panel de administración en el componente del proceso de instalación. NOTA: el vendedor cuestiona la relevancia de este informe, señalando que "la persona que está instalando Moodle debe conocer las credenciales de acceso de la base de datos y pueden acceder directamente a la base de datos; no hay necesidad para ellos de crear una inyección SQL en uno de los campos de diálogo de la instalación". • http://www.securityfocus.com/bid/93971 https://tracker.moodle.org/browse/MDL-56298 https://www.youtube.com/watch?v=pQS1GdQ3CBc • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •