CVSS: 5.4EPSS: 0%CPEs: 5EXPL: 0CVE-2019-3808
https://notcve.org/view.php?id=CVE-2019-3808
A flaw was found in Moodle versions 3.6 to 3.6.1, 3.5 to 3.5.3, 3.4 to 3.4.6, 3.1 to 3.1.15 and earlier unsupported versions. The 'manage groups' capability did not have the 'XSS risk' flag assigned to it, but does have that access in certain places. Note that the capability is intended for use by trusted users, and is only assigned to teachers and managers by default. Se ha encontrado un error en Moodle, en versiones 3.4 a 3.6.1, 3.3 a 3.5.3, 3.2 a 3.4.6 y 3.1 a 3.1.15, así como en versiones anteriores sin soporte. La funcionalidad ‘‘manage groups’’ no tenía el flag ‘‘XSS risk’’ asignado, pero tiene ese tipo de acceso a ciertos lugares. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-64395 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3808 https://moodle.org/mod/forum/discuss.php?d=381228#p1536765 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 1%CPEs: 4EXPL: 3CVE-2019-3810 – Moodle 3.6.1 - Persistent Cross-Site Scripting (XSS)
https://notcve.org/view.php?id=CVE-2019-3810
A flaw was found in moodle versions 3.6 to 3.6.1, 3.5 to 3.5.3, 3.4 to 3.4.6, 3.1 to 3.1.15 and earlier unsupported versions. The /userpix/ page did not escape users' full names, which are included as text when hovering over profile images. Note this page is not linked to by default and its access is restricted. Se ha encontrado un error en Moodle, desde la versión 3.6 hasta la 3.6.1, de la 3.5 a la 3.5.3, de la 3.4 a la 3.4.6 y desde la 3.1 hasta la 3.1.15, así como en versiones anteriores sin soporte. La página /userprix/ no escapó los nombres completos de los usuarios, que están incluidos como texto al desplazarse sobre las imágenes. • https://www.exploit-db.com/exploits/49814 https://github.com/farisv/Moodle-CVE-2019-3810 http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-64372 http://packetstormsecurity.com/files/162399/Moodle-3.6.1-Cross-Site-Scripting.html https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3810 https://moodle.org/mod/forum/discuss.php?d=381230#p1536767 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-6970
https://notcve.org/view.php?id=CVE-2019-6970
Moodle 3.5.x before 3.5.4 allows SSRF. Moodle, en versiones 3.5.x anteriores a la 3.5.4 permite Server-Side Request Forgery (SSRF). • https://www.excellium-services.com/cert-xlm-advisory/cve-2019-6970 • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 8.8EPSS: 0%CPEs: 5EXPL: 0CVE-2018-16854
https://notcve.org/view.php?id=CVE-2018-16854
A flaw was found in moodle versions 3.5 to 3.5.2, 3.4 to 3.4.5, 3.3 to 3.3.8, 3.1 to 3.1.14 and earlier. The login form is not protected by a token to prevent login cross-site request forgery. Fixed versions include 3.6, 3.5.3, 3.4.6, 3.3.9 and 3.1.15. Se ha encontrado un error en Moodle en las siguientes versiones: desde la 3.5 hasta la 3.5.2, desde la 3.4 hasta la 3.4.5, desde la 3.3 hasta la 3.3.8 y desde la 3.1 hasta la 3.1.14 y anteriores. El formulario de inicio de sesión no es protegido por un token para prevenir Cross-Site Request Forgery (CSRF) durante el inicio de sesión. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-63183 http://www.securityfocus.com/bid/106017 http://www.securitytracker.com/id/1042154 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-16854 https://moodle.org/mod/forum/discuss.php?d=378731 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0CVE-2018-14631
https://notcve.org/view.php?id=CVE-2018-14631
moodle before versions 3.5.2, 3.4.5, 3.3.8 is vulnerable to a boost theme - blog search GET parameter insufficiently filtered. The breadcrumb navigation provided by Boost theme when displaying search results of a blog were insufficiently filtered, which could result in reflected XSS if a user followed a malicious link containing JavaScript in the search parameter. moodle en versiones anteriores a la 3.5.2, 3.4.5 y 3.3.8 es vulnerable al filtrado insuficiente del parámetro GET de búsqueda de blogs y boost theme. La navegación por miga de pan proporcionada por el tema Boost al mostrar resultados de búsqueda de un blog no se filtró lo suficiente, lo que podría resultar en Cross-Site Scripting (XSS) reflejado si un usuario sigue un enlace malicioso que contiene JavaScript en el parámetro search. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-62857 http://www.securityfocus.com/bid/105371 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-14631 https://moodle.org/mod/forum/discuss.php?d=376025 • CWE-20: Improper Input Validation CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •