CVSS: 6.8EPSS: 0%CPEs: 64EXPL: 0CVE-2014-0214
https://notcve.org/view.php?id=CVE-2014-0214
login/token.php in Moodle through 2.3.11, 2.4.x before 2.4.10, 2.5.x before 2.5.6, and 2.6.x before 2.6.3 creates a MoodleMobile web-service token with an infinite lifetime, which makes it easier for remote attackers to hijack sessions via a brute-force attack. login/token.php en Moodle hasta 2.3.11, 2.4.x anterior a 2.4.10, 2.5.x anterior a 2.5.6 y 2.6.x anterior a 2.6.3 crea un token de servicio web MoodleMobile con una vida infinita, lo que facilita a atacantes remotos secuestrar sesiones a través de un ataque de fuerza bruta. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-43119 http://openwall.com/lists/oss-security/2014/05/19/1 https://moodle.org/mod/forum/discuss.php?d=260362 • CWE-287: Improper Authentication •
CVSS: 4.0EPSS: 0%CPEs: 64EXPL: 0CVE-2014-0215
https://notcve.org/view.php?id=CVE-2014-0215
The blind-marking implementation in Moodle through 2.3.11, 2.4.x before 2.4.10, 2.5.x before 2.5.6, and 2.6.x before 2.6.3 allows remote authenticated users to de-anonymize student identities by (1) using a screen reader or (2) reading the HTML source. La implementación de calificación a ciegas en Moodle hasta 2.3.11, 2.4.x anterior a 2.4.10, 2.5.x anterior a 2.5.6 y 2.6.x anterior a 2.6.3 permite a usuarios remotos autenticados revelar la identidad de estudiantes mediante (1) el uso de un lector de pantalla o (2) la lectura de la fuente HTML. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-44750 http://openwall.com/lists/oss-security/2014/05/19/1 https://moodle.org/mod/forum/discuss.php?d=260363 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2014-0217
https://notcve.org/view.php?id=CVE-2014-0217
enrol/index.php in Moodle 2.6.x before 2.6.3 does not check for the moodle/course:viewhiddencourses capability before listing hidden courses, which allows remote attackers to obtain sensitive name and summary information about these courses by leveraging the guest role and visiting a crafted URL. enrol/index.php en Moodle 2.6.x anterior a 2.6.3 no comprueba para la funcionalidad moodle/course:viewhiddencourses antes de listar cursos escondidos, lo que permite a atacantes remotos obtener información sensible de nombres y resúmenes sobre estos cursos mediante el aprovechamiento del rol de invitado y la visita a una URL manipulada. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-45126 http://openwall.com/lists/oss-security/2014/05/19/1 https://moodle.org/mod/forum/discuss.php?d=260365 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •