CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0CVE-2024-34008 – moodle: CSRF risk in analytics management of models
https://notcve.org/view.php?id=CVE-2024-34008
Actions in the admin management of analytics models did not include the necessary token to prevent a CSRF risk. Las acciones en la gestión administrativa de los modelos de análisis no incluyeron el token necesario para prevenir un riesgo CSRF. • https://moodle.org/mod/forum/discuss.php?d=458397 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.2EPSS: 0%CPEs: 3EXPL: 0CVE-2024-33996 – moodle: broken access control when setting calendar event type
https://notcve.org/view.php?id=CVE-2024-33996
Incorrect validation of allowed event types in a calendar web service made it possible for some users to create events with types/audiences they did not have permission to publish to. La validación incorrecta de los tipos de eventos permitidos en un servicio web de calendario hizo posible que algunos usuarios crearan eventos con tipos/audiencias para los que no tenían permiso para publicar. • https://moodle.org/mod/forum/discuss.php?d=458384#p1840909 • CWE-20: Improper Input Validation •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2023-46858
https://notcve.org/view.php?id=CVE-2023-46858
Moodle 4.3 allows /grade/report/grader/index.php?searchvalue= reflected XSS when logged in as a teacher. NOTE: the Moodle Security FAQ link states "Some forms of rich content [are] used by teachers to enhance their courses ... admins and teachers can post XSS-capable content, but students can not." ** EN DISPUTA ** Moodle 4.3 permite /grade/report/grader/index.php?searchvalue= XSS reflejado cuando se inicia sesión como profesor. NOTA: el enlace de preguntas frecuentes sobre seguridad de Moodle indica: "Los profesores utilizan algunas formas de contenido enriquecido para mejorar sus cursos... los administradores y profesores pueden publicar contenido compatible con XSS, pero los estudiantes no". • https://docs.moodle.org/403/en/Security_FAQ#I_have_discovered_Cross_Site_Scripting_.28XSS.29_is_possible_with_Moodle https://gist.github.com/Abid-Ahmad/12d2b4878eb731e8871b96b7d55125cd https://packetstormsecurity.com/files/175277/Moodle-4.3-Cross-Site-Scripting.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •