CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2016-9187
https://notcve.org/view.php?id=CVE-2016-9187
Unrestricted file upload vulnerability in the double extension support in the "image" module in Moodle 3.1.2 allows remote authenticated users to execute arbitrary code by uploading a file with an executable extension, and then accessing it via unspecified vectors. Vulnerabilidad de carga de archivos sin restricciones en el soporte de doble extensión en el módulo "imagen" en Moodle 3.1.2 permite a usuarios remotos autenticados ejecutar código arbitrario subiendo un archivo con una extensión ejecutable, y luego accediendo a él a través de vectores no especificados. • http://www.securityfocus.com/bid/94191 https://packetstormsecurity.com/files/139466/Moodle-CMS-3.1.2-Cross-Site-Scripting-File-Upload.html • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2016-9188
https://notcve.org/view.php?id=CVE-2016-9188
Cross-site scripting (XSS) vulnerabilities in Moodle CMS on or before 3.1.2 allow remote attackers to inject arbitrary web script or HTML via the s_additionalhtmlhead, s_additionalhtmltopofbody, and s_additionalhtmlfooter parameters. Vulnerabilidades de XSS en Moodle CMS en o en versiones anteriores a 3.1.2 permiten a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de los parámetros s_additionalhtmlhead, s_additionalhtmltopofbody y s_additionalhtmlfooter parameters. • http://www.securityfocus.com/bid/94189 https://packetstormsecurity.com/files/139466/Moodle-CMS-3.1.2-Cross-Site-Scripting-File-Upload.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2016-7919
https://notcve.org/view.php?id=CVE-2016-7919
Moodle 3.1.2 allows remote attackers to obtain sensitive information via unspecified vectors, related to a "SQL Injection" issue affecting the Administration panel function in the installation process component. NOTE: the vendor disputes the relevance of this report, noting that "the person who is installing Moodle must know database access credentials and they can access the database directly; there is no need for them to create a SQL injection in one of the installation dialogue fields. ** DISPUTADA ** Moodle 3.1.2 permite a atacantes remotos obtener información sensible a través de vectores no especificados, relacionados con un problema de "SQL Injection" que afecta a la función del panel de administración en el componente del proceso de instalación. NOTA: el vendedor cuestiona la relevancia de este informe, señalando que "la persona que está instalando Moodle debe conocer las credenciales de acceso de la base de datos y pueden acceder directamente a la base de datos; no hay necesidad para ellos de crear una inyección SQL en uno de los campos de diálogo de la instalación". • http://www.securityfocus.com/bid/93971 https://tracker.moodle.org/browse/MDL-56298 https://www.youtube.com/watch?v=pQS1GdQ3CBc • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 19EXPL: 0CVE-2016-2155
https://notcve.org/view.php?id=CVE-2016-2155
The grade-reporting feature in Singleview (aka Single View) in Moodle 2.8.x before 2.8.11, 2.9.x before 2.9.5, and 3.0.x before 3.0.3 does not consider the moodle/grade:manage capability, which allows remote authenticated users to modify "Exclude grade" settings by leveraging the Non-Editing Instructor role. La funcionalidad grade-reporting en Singleview (también conocida como Single View) en Moodle 2.8.x en versiones anteriores a 2.8.11, 2.9.x en versiones anteriores a 2.9.5 y 3.0.x en versiones anteriores a 3.0.3 no considera la capacidad moodle/grade:manage, lo que permite a usuarios remotos autenticados modificar ajustes "Exclude grade" aprovechando el rol Non-Editing Instructor. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-52378 http://www.openwall.com/lists/oss-security/2016/03/21/1 http://www.securitytracker.com/id/1035333 https://moodle.org/mod/forum/discuss.php?d=330177 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 4.3EPSS: 0%CPEs: 33EXPL: 0CVE-2016-2151
https://notcve.org/view.php?id=CVE-2016-2151
user/index.php in Moodle through 2.6.11, 2.7.x before 2.7.13, 2.8.x before 2.8.11, 2.9.x before 2.9.5, and 3.0.x before 3.0.3 grants excessive authorization on the basis of the moodle/course:viewhiddenuserfields capability, which allows remote authenticated users to discover student e-mail addresses by leveraging the teacher role and reading a Participants list. user/index.php en Moodle hasta la versión 2.6.11, 2.7.x en versiones anteriores a 2.7.13, 2.8.x en versiones anteriores a 2.8.11, 2.9.x en versiones anteriores a 2.9.5 y 3.0.x en versiones anteriores a 3.0.3 concede excesiva autorización sobre la base de la capacidad de moodle/course:viewhiddenuserfields, lo que permite a usuarios remotos autenticados descubrir direcciones e-mail de estudiantes aprovechando el rol de profesor y leyendo una lista Participants. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-52433 http://www.openwall.com/lists/oss-security/2016/03/21/1 http://www.securitytracker.com/id/1035333 https://moodle.org/mod/forum/discuss.php?d=330173 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •