CVSS: 8.3EPSS: 0%CPEs: 4EXPL: 0CVE-2020-1756
https://notcve.org/view.php?id=CVE-2020-1756
16 Aug 2022 — In Moodle before 3.8.2, 3.7.5, 3.6.9 and 3.5.11, insufficient input escaping was applied to the PHP unit webrunner admin tool. En Moodle versiones anteriores a 3.8.2, 3.7.5, 3.6.9 y 3.5.11, era aplicado un escape de entrada insuficiente a la herramienta de administración webrunner de la unidad PHP. • https://moodle.org/mod/forum/discuss.php?d=398352 • CWE-20: Improper Input Validation •
CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2020-1755
https://notcve.org/view.php?id=CVE-2020-1755
16 Aug 2022 — In Moodle before 3.8.2, 3.7.5, 3.6.9 and 3.5.11, X-Forwarded-For headers could be used to spoof a user's IP, in order to bypass remote address checks. En Moodle versiones anteriores a 3.8.2, 3.7.5, 3.6.9 y 3.5.11, los encabezados X-Forwarded-For podían usarse para falsificar la IP de un usuario, con el fin de omitir las comprobaciones de direcciones remotas. • https://moodle.org/mod/forum/discuss.php?d=398351 • CWE-345: Insufficient Verification of Data Authenticity •
CVSS: 7.8EPSS: 0%CPEs: 4EXPL: 0CVE-2020-14322
https://notcve.org/view.php?id=CVE-2020-14322
16 Aug 2022 — In Moodle before 3.9.1, 3.8.4, 3.7.7 and 3.5.13, yui_combo needed to limit the amount of files it can load to help mitigate the risk of denial of service. En Moodle versiones anteriores a 3.9.1, 3.8.4, 3.7.7 y 3.5.13, yui_combo necesitaba limitar la cantidad de archivos que puede cargar para ayudar a mitigar el riesgo de denegación de servicio. • https://moodle.org/mod/forum/discuss.php?d=407394 • CWE-770: Allocation of Resources Without Limits or Throttling •
CVSS: 4.3EPSS: 0%CPEs: 5EXPL: 0CVE-2020-1754
https://notcve.org/view.php?id=CVE-2020-1754
05 Aug 2022 — In Moodle before 3.8.2, 3.7.5, 3.6.9 and 3.5.11, users viewing the grade history report without the 'access all groups' capability were not restricted to viewing grades of users within their own groups. En Moodle versiones anteriores a 3.8.2, 3.7.5, 3.6.9 y 3.5.11, los usuarios visualizando el informe del historial de calificaciones sin la capacidad de "access all groups" no estaban restringidos a visualizar las calificaciones de usuarios de sus propios grupos • https://moodle.org/mod/forum/discuss.php?d=398350 • CWE-284: Improper Access Control CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2022-0985
https://notcve.org/view.php?id=CVE-2022-0985
29 Apr 2022 — Insufficient capability checks could allow users with the moodle/site:uploadusers capability to delete users, without having the necessary moodle/user:delete capability. Las comprobaciones de capacidad insuficientes podrían permitir a usuarios con la capacidad moodle/site:uploadusers eliminar usuarios, sin tener la capacidad moodle/user:delete necesaria • https://bugzilla.redhat.com/show_bug.cgi?id=2064117 • CWE-287: Improper Authentication CWE-863: Incorrect Authorization •
CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2021-32473
https://notcve.org/view.php?id=CVE-2021-32473
11 Mar 2022 — It was possible for a student to view their quiz grade before it had been released, using a quiz web service. Moodle 3.10 to 3.10.3, 3.9 to 3.9.6, 3.8 to 3.8.8, 3.5 to 3.5.17 and earlier unsupported versions are affected Era posible que un estudiante visualice la nota de su cuestionario antes de que se hubiera publicado, usando un servicio web de cuestionarios. Moodle versiones 3.10 a 3.10.3, 3.9 a 3.9.6, 3.8 a 3.8.8, 3.5 a 3.5.17 y versiones anteriores no soportadas están afectadas • https://moodle.org/mod/forum/discuss.php?d=422307 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.2EPSS: 0%CPEs: 4EXPL: 0CVE-2021-32474
https://notcve.org/view.php?id=CVE-2021-32474
11 Mar 2022 — An SQL injection risk existed on sites with MNet enabled and configured, via an XML-RPC call from the connected peer host. Note that this required site administrator access or access to the keypair. Moodle 3.10 to 3.10.3, 3.9 to 3.9.6, 3.8 to 3.8.8, 3.5 to 3.5.17 and earlier unsupported versions are affected. Se presentaba un riesgo de inyección SQL en sitios con MNet habilitado y configurado, por medio de una llamada XML-RPC desde el host par conectado. Tenga en cuenta que esto requería el acceso del admin... • https://moodle.org/mod/forum/discuss.php?d=422308 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.4EPSS: 0%CPEs: 4EXPL: 0CVE-2021-32475
https://notcve.org/view.php?id=CVE-2021-32475
11 Mar 2022 — ID numbers displayed in the quiz grading report required additional sanitizing to prevent a stored XSS risk. Moodle 3.10 to 3.10.3, 3.9 to 3.9.6, 3.8 to 3.8.8, 3.5 to 3.5.17 and earlier unsupported versions are affected. Los números de identificación mostrados en el informe de calificación de los cuestionarios requerían un saneo adicional para evitar un riesgo de tipo XSS almacenado. Moodle versiones 3.10 a 3.10.3, 3.9 a 3.9.6, 3.8 a 3.8.8, 3.5 a 3.5.17 y versiones anteriores no soportadas están afectadas • https://moodle.org/mod/forum/discuss.php?d=422309 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2021-32478
https://notcve.org/view.php?id=CVE-2021-32478
11 Mar 2022 — The redirect URI in the LTI authorization endpoint required extra sanitizing to prevent reflected XSS and open redirect risks. Moodle versions 3.10 to 3.10.3, 3.9 to 3.9.6, 3.8 to 3.8.8 and earlier unsupported versions are affected. El URI de redireccionamiento en el endpoint de autorización de LTI requería un saneamiento adicional para evitar los riesgos de tipo XSS reflejado y redireccionamiento abierto. Moodle versiones 3.10 a 3.10.3, 3.9 a 3.9.6, 3.8 a 3.8.8 y las versiones anteriores no soportadas está... • https://moodle.org/mod/forum/discuss.php?d=422314 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2021-32476
https://notcve.org/view.php?id=CVE-2021-32476
11 Mar 2022 — A denial-of-service risk was identified in the draft files area, due to it not respecting user file upload limits. Moodle versions 3.10 to 3.10.3, 3.9 to 3.9.6, 3.8 to 3.8.8, 3.5 to 3.5.17 and earlier unsupported versions are affected. Se ha identificado un riesgo de denegación de servicio en el área de archivos borrador, debido a que no respeta los límites de subida de archivos de los usuarios. Están afectadas las versiones de Moodle versiones 3.10 a 3.10.3, 3.9 a 3.9.6, 3.8 a 3.8.8, 3.5 a 3.5.17 y version... • https://moodle.org/mod/forum/discuss.php?d=422310 • CWE-770: Allocation of Resources Without Limits or Throttling •