CVSS: 7.5EPSS: 0%CPEs: 12EXPL: 0CVE-2011-4283
https://notcve.org/view.php?id=CVE-2011-4283
16 Jul 2012 — Moodle 1.9.x before 1.9.11 and 2.0.x before 2.0.2 places an IMS enterprise enrolment file in the course-files area, which allows remote attackers to obtain sensitive information via a request for imsenterprise-enrol.xml. Moodle v1.9.x antes de v1.9.11 y v2.0.x antes de v2.0.2 coloca un archivo de inscripción de empresa IMS en el área de archivos del curso, lo que permite a atacantes remotos obtener información sensible a través de una solicitud imsenterprise-enrol.xml. • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=6fde0dac702b3d0954bd1c34d427944e9cd89ae6 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2011-4279
https://notcve.org/view.php?id=CVE-2011-4279
16 Jul 2012 — Moodle 2.0.x before 2.0.2 does not use the forceloginforprofiles setting for course-profiles access control, which makes it easier for remote attackers to obtain potentially sensitive information via vectors involving use of a search engine, as demonstrated by the search functionality of Google, Yahoo!, Wrensoft Zoom, MSN, Yandex, and AltaVista. Moodle v2.0.x antes de v2.0.2 no utiliza el ajuste de control forceloginforprofiles para controlar el acceso a los perfiles del curso, lo que hace que sea más fácil... • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=81b58cc227cf96a1cd2e002cc210b7b3e376fd17 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.1EPSS: 0%CPEs: 11EXPL: 0CVE-2011-4290
https://notcve.org/view.php?id=CVE-2011-4290
16 Jul 2012 — Multiple cross-site scripting (XSS) vulnerabilities in lib/weblib.php in Moodle 1.9.x before 1.9.12 allow remote attackers to inject arbitrary web script or HTML via vectors related to URL encoding. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en lib/weblib.php en Moodle v1.9.x anterior a v1.9.12 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores relacionados con la codificación URL. • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=5a3010310bff0b3946804a72ca2d6bc166a0028f • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 13EXPL: 0CVE-2011-4288
https://notcve.org/view.php?id=CVE-2011-4288
16 Jul 2012 — Moodle 1.9.x before 1.9.12 and 2.0.x before 2.0.3 does not properly implement associations between teachers and groups, which allows remote authenticated users to read quiz reports of arbitrary students by leveraging the teacher role. Moodle v1.9.x anterior a v1.9.12 y v2.0.x anterior a v2.0.3 no aplica correctamente las asociaciones entre los profesores y los grupos, lo que permite a usuarios remotos autenticados leer los informes de examen de los estudiantes arbitrarios mediante el aprovechamiento de la f... • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=79c6e3a0968ee1fedcf8a1f14f8086fcd9dbd3f6 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.8EPSS: 0%CPEs: 17EXPL: 0CVE-2011-4294
https://notcve.org/view.php?id=CVE-2011-4294
16 Jul 2012 — The error-message functionality in Moodle 1.9.x before 1.9.13, 2.0.x before 2.0.4, and 2.1.x before 2.1.1 does not ensure that a continuation link refers to an http or https URL for the local Moodle instance, which might allow attackers to trick users into visiting arbitrary web sites via unspecified vectors. La funcionalidad de mensajes de error en Moodle v1.9.x anterior a v1.9.13, v2.0.x anterior a v2.0.4, v2.1.1 y v2.1.x no garantiza que un enlace de continuidad se refiera a una dirección http o https pa... • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=8f9f666c902cb30ef6f519353f38c45a29fdf4a6 • CWE-20: Improper Input Validation •
CVSS: 6.4EPSS: 0%CPEs: 5EXPL: 0CVE-2011-4297
https://notcve.org/view.php?id=CVE-2011-4297
16 Jul 2012 — comment/lib.php in Moodle 2.0.x before 2.0.4 and 2.1.x before 2.1.1 does not properly restrict comment capabilities, which allows remote attackers to post a comment by leveraging the guest role and operating on a front-page activity. comment/lib.php en Moodle v2.0.x anterior a v2.0.4 y v2.1.x anterior a v2.1.1 no restringe adecuadamente las capacidades de comentarios, lo que permite a atacantes remotos para escribir un comentario, aprovechando el papel de la huésped y el funcionamiento de una actividad de p... • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=9da3c2efadcc5f56cb8adc19c67ed16be35780f3 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 8.8EPSS: 0%CPEs: 5EXPL: 0CVE-2011-4295
https://notcve.org/view.php?id=CVE-2011-4295
16 Jul 2012 — The moodle_enrol_external:role_assign function in enrol/externallib.php in Moodle 2.0.x before 2.0.4 and 2.1.x before 2.1.1 does not have an authorization check, which allows remote authenticated users to gain privileges by making a role assignment. El moodle_enrol_external:role_assign function in enrol/externallib.php en Moodle v2.0.x anterior a v2.0.4 y v2.1.x anterior a v2.1.1 no tiene una comprobación de autorización, permite a usuarios remotos autenticados obtener privilegios mediante una asignación de... • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=d20f655d59cd486fd9b3a26ad353af13daafd1d3 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.1EPSS: 0%CPEs: 12EXPL: 0CVE-2011-4278
https://notcve.org/view.php?id=CVE-2011-4278
16 Jul 2012 — Cross-site scripting (XSS) vulnerability in the tag autocomplete functionality in Moodle 1.9.x before 1.9.11 and 2.0.x before 2.0.2 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en la funcionalidad de autocompletado de etiquetas en Moodle v1.9.x antes de v1.9.11 y v2.0.x antes de v2.0.2 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores no especificados. • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=fd29b2ad1c20906da00d7e523f39bc8a0358a65b • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 3EXPL: 0CVE-2011-4287
https://notcve.org/view.php?id=CVE-2011-4287
16 Jul 2012 — admin/uploaduser_form.php in Moodle 2.0.x before 2.0.3 does not force password changes for autosubscribed users, which makes it easier for remote attackers to obtain access by leveraging knowledge of the initial password of a new user. admin/uploaduser_form.php en Moodle v2.0.x anteriores a la v2.0.3 no fuerza a los usuarios autosubscribed a cambiar su contraseña, lo que hace que sea más fácil para los atacantes remotos obtener acceso aprovechándose de conocer la contraseña inicial de un nuevo usuario. • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=22a77963439e00441949440f0517135b3a5418da • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 8.8EPSS: 0%CPEs: 10EXPL: 0CVE-2011-4133
https://notcve.org/view.php?id=CVE-2011-4133
16 Jul 2012 — Cross-site request forgery (CSRF) vulnerability in Moodle 1.9.x before 1.9.11 allows remote attackers to hijack the authentication of unspecified victims for requests that modify an RSS feed in an RSS block. Una vulnerabilidad de falsificación de peticiones en sitios cruzados (CSRF) en Moodle v1.9.x antes de v1.9.11 permite a atacantes remotos secuestrar la autenticación de víctimas aleatorias en solicitudes que modifican un feed RSS en un bloque de RSS. • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=8f031d5431c1204197b1482fd6c63bc87a19a476 • CWE-352: Cross-Site Request Forgery (CSRF) •