CVE-2016-3733
https://notcve.org/view.php?id=CVE-2016-3733
The "restore teacher" feature in Moodle 3.0 through 3.0.3, 2.9 through 2.9.5, 2.8 through 2.8.11, 2.7 through 2.7.13, and earlier allows remote authenticated users to overwrite the course idnumber. La función "restore teacher" en Moodle 3.0 en versiones hasta 3.0.3, 2.9 en versiones hasta 2.9.5, 2.8 en versiones hasta 2.8.11, 2.7 en versiones hasta 2.7.13 y en versiones anteriores, permite a usuarios remotos autenticados sobrescribir el idnumber del curso. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-51369 http://www.openwall.com/lists/oss-security/2016/05/17/4 http://www.securitytracker.com/id/1035902 https://bugzilla.redhat.com/show_bug.cgi?id=1335933 • CWE-284: Improper Access Control •
CVE-2016-3732
https://notcve.org/view.php?id=CVE-2016-3732
The capability check to access other badges in Moodle 3.0 through 3.0.3, 2.9 through 2.9.5, 2.8 through 2.8.11, 2.7 through 2.7.13, and earlier allows remote authenticated users to read the badges of other users. La comprobación de capacidad para acceder a otros distintivos en Moodle 3.0 en versiones hasta 3.0.3, 2.9 en versiones hasta 2.9.5, 2.8 en versiones hasta 2.8.11, 2.7 en versiones hasta 2.7.13 y en versiones anteriores, permite a usuarios remotos autenticados leer los distintivos de otros usuarios. • http://www.openwall.com/lists/oss-security/2016/05/17/4 http://www.securitytracker.com/id/1035902 https://bugzilla.redhat.com/show_bug.cgi?id=1335933 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2017-7298
https://notcve.org/view.php?id=CVE-2017-7298
In Moodle 3.2.2+, there is XSS in the Course summary filter of the "Add a new course" page, as demonstrated by a crafted attribute of an SVG element. En Moodle 3.2.2+, hay XSS en el filtro de resumen del curso de la página "agregar un nuevo curso", como lo demuestra un atributo manipulado de un elemento SVG. • http://www.daimacn.com/index.php/post/12.html http://www.daimacn.com/post/12.html http://www.securityfocus.com/bid/97182 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2017-2643
https://notcve.org/view.php?id=CVE-2017-2643
In Moodle 3.2.x, global search displays user names for unauthenticated users. En Moodle 3.2.x, la búsqueda global muestra nombres de usuario para usuarios no autenticados. • http://www.securityfocus.com/bid/96978 http://www.securitytracker.com/id/1038174 https://moodle.org/mod/forum/discuss.php?d=349420 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2017-2641 – Moodle 2.x/3.x - SQL Injection
https://notcve.org/view.php?id=CVE-2017-2641
In Moodle 2.x and 3.x, SQL injection can occur via user preferences. En Moodle 2.x y 3.x, puede ocurrir una inyección de SQL a través de las preferencias de usuario. • https://www.exploit-db.com/exploits/41828 http://www.securityfocus.com/bid/96977 http://www.securitytracker.com/id/1038174 https://moodle.org/mod/forum/discuss.php?d=349419 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •