Page 20 of 459 results (0.005 seconds)

CVSS: 6.1EPSS: 1%CPEs: 4EXPL: 3

A flaw was found in moodle versions 3.6 to 3.6.1, 3.5 to 3.5.3, 3.4 to 3.4.6, 3.1 to 3.1.15 and earlier unsupported versions. The /userpix/ page did not escape users' full names, which are included as text when hovering over profile images. Note this page is not linked to by default and its access is restricted. Se ha encontrado un error en Moodle, desde la versión 3.6 hasta la 3.6.1, de la 3.5 a la 3.5.3, de la 3.4 a la 3.4.6 y desde la 3.1 hasta la 3.1.15, así como en versiones anteriores sin soporte. La página /userprix/ no escapó los nombres completos de los usuarios, que están incluidos como texto al desplazarse sobre las imágenes. • https://www.exploit-db.com/exploits/49814 https://github.com/farisv/Moodle-CVE-2019-3810 http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-64372 http://packetstormsecurity.com/files/162399/Moodle-3.6.1-Cross-Site-Scripting.html https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3810 https://moodle.org/mod/forum/discuss.php?d=381230#p1536767 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0

Moodle 3.5.x before 3.5.4 allows SSRF. Moodle, en versiones 3.5.x anteriores a la 3.5.4 permite Server-Side Request Forgery (SSRF). • https://www.excellium-services.com/cert-xlm-advisory/cve-2019-6970 • CWE-918: Server-Side Request Forgery (SSRF) •

CVSS: 8.8EPSS: 0%CPEs: 5EXPL: 0

A flaw was found in moodle versions 3.5 to 3.5.2, 3.4 to 3.4.5, 3.3 to 3.3.8, 3.1 to 3.1.14 and earlier. The login form is not protected by a token to prevent login cross-site request forgery. Fixed versions include 3.6, 3.5.3, 3.4.6, 3.3.9 and 3.1.15. Se ha encontrado un error en Moodle en las siguientes versiones: desde la 3.5 hasta la 3.5.2, desde la 3.4 hasta la 3.4.5, desde la 3.3 hasta la 3.3.8 y desde la 3.1 hasta la 3.1.14 y anteriores. El formulario de inicio de sesión no es protegido por un token para prevenir Cross-Site Request Forgery (CSRF) durante el inicio de sesión. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-63183 http://www.securityfocus.com/bid/106017 http://www.securitytracker.com/id/1042154 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-16854 https://moodle.org/mod/forum/discuss.php?d=378731 • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0

moodle before versions 3.5.2, 3.4.5, 3.3.8 is vulnerable to a boost theme - blog search GET parameter insufficiently filtered. The breadcrumb navigation provided by Boost theme when displaying search results of a blog were insufficiently filtered, which could result in reflected XSS if a user followed a malicious link containing JavaScript in the search parameter. moodle en versiones anteriores a la 3.5.2, 3.4.5 y 3.3.8 es vulnerable al filtrado insuficiente del parámetro GET de búsqueda de blogs y boost theme. La navegación por miga de pan proporcionada por el tema Boost al mostrar resultados de búsqueda de un blog no se filtró lo suficiente, lo que podría resultar en Cross-Site Scripting (XSS) reflejado si un usuario sigue un enlace malicioso que contiene JavaScript en el parámetro search. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-62857 http://www.securityfocus.com/bid/105371 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-14631 https://moodle.org/mod/forum/discuss.php?d=376025 • CWE-20: Improper Input Validation CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 8.8EPSS: 3%CPEs: 5EXPL: 2

moodle before versions 3.5.2, 3.4.5, 3.3.8, 3.1.14 is vulnerable to an XML import of ddwtos could lead to intentional remote code execution. When importing legacy 'drag and drop into text' (ddwtos) type quiz questions, it was possible to inject and execute PHP code from within the imported questions, either intentionally or by importing questions from an untrusted source. moodle en versiones anteriores a la 3.5.2, 3.4.5, 3.3.8 y 3.1.14 es vulnerable a una importación XML de ddwtos que podría conducir a la ejecución intencional de código de forma remota. Al importar preguntas heredadas de quiz de tipo "drag and drop into text" (ddwtos), era posible inyectar y ejecutar código PHP desde las preguntas importadas, ya sea de forma intencionada o importando preguntas de una fuente no fiable. Moodle versions 3.5.2, 3.4.5, 3.3.8, and 3.1.14 suffer from a remote php unserialize code execution vulnerability. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-62880 http://www.securityfocus.com/bid/105354 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-14630 https://moodle.org/mod/forum/discuss.php?d=376023 https://seclists.org/fulldisclosure/2018/Sep/28 https://www.sec-consult.com/en/blog/advisories/remote-code-execution-php-unserialize-moodle-open-source-learning-platform-cve-2018-14630 • CWE-20: Improper Input Validation CWE-94: Improper Control of Generation of Code ('Code Injection') •