Page 37 of 206 results (0.021 seconds)

CVSS: 6.8EPSS: 0%CPEs: 18EXPL: 0

Moodle 1.8.x and 1.9.x before 1.9.8 does not enable the "Regenerate session id during login" setting by default, which makes it easier for remote attackers to conduct session fixation attacks. Moodle v1.8.x y v1.9.x anterior a v1.9.8 no habilita el "Regenerate session id during login" (regenerar id de sesión al acceder) como configuración por defecto, lo cual facilita a los atacantes remotos realizar ataques de fijación de sesión. • http://lists.opensuse.org/opensuse-security-announce/2010-05/msg00001.html http://moodle.org/security http://www.vupen.com/english/advisories/2010/1107 • CWE-287: Improper Authentication •

CVSS: 4.0EPSS: 0%CPEs: 18EXPL: 0

user/view.php in Moodle 1.8.x before 1.8.12 and 1.9.x before 1.9.8 does not properly check a role, which allows remote authenticated users to obtain the full names of other users via the course profile page. user/view.php en Moodle v1.8.x anterior a v1.8.12 y v1.9.x anterior a v1.9.8 no comprueba correctamente un rol, lo cual permite a usuarios remotos autenticados obtener los nombres completos de otros usuarios a través de la página del perfil del curso. • http://cvs.moodle.org/moodle/user/view.php?r1=1.168.2.28&r2=1.168.2.29 http://lists.opensuse.org/opensuse-security-announce/2010-05/msg00001.html http://moodle.org/security http://www.vupen.com/english/advisories/2010/1107 • CWE-264: Permissions, Privileges, and Access Controls •

CVSS: 4.3EPSS: 0%CPEs: 18EXPL: 0

Cross-site scripting (XSS) vulnerability in the fix_non_standard_entities function in the KSES HTML text cleaning library (weblib.php), as used in Moodle 1.8.x before 1.8.12 and 1.9.x before 1.9.8, allows remote attackers to inject arbitrary web script or HTML via crafted HTML entities. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en la función fix_non_standard_entities en la biblioteca de limpieza de texto KSES HTML (weblib.php), utilizado en Moodle v1.8.x antes de v1.8.12 y v1.9.x antes de v1.9.8, permite a atacantes remotos la ejecución de secuencias de comandos web o HTML a través de entidades HTML manipuladas. • http://lists.opensuse.org/opensuse-security-announce/2010-05/msg00001.html http://moodle.org/security http://www.vupen.com/english/advisories/2010/1107 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 7.5EPSS: 0%CPEs: 18EXPL: 0

Multiple SQL injection vulnerabilities in Moodle 1.8.x before 1.8.12 and 1.9.x before 1.9.8 allow remote attackers to execute arbitrary SQL commands via vectors related to (1) the add_to_log function in mod/wiki/view.php in the wiki module, or (2) "data validation in some forms elements" related to lib/form/selectgroups.php. Múltiples vulnerabilidades de inyección SQL en Moodle v1.8.x anterior a v1.8.12 y v1.9.x anterior a v1.9.8 permite a atacantes remotos ejecutar comandos SQL a través de vectores relacionados con (1) la función add_to_log en mod/wiki/view.php en el módulo wiki, o (2) "la validación de datos en algunos elementos de formularios" relacionado con lib/form/selectgroups.php. • http://cvs.moodle.org/moodle/lib/form/selectgroups.php?r1=1.2.4.2&r2=1.2.4.3 http://cvs.moodle.org/moodle/mod/wiki/view.php?r1=1.76.2.6&r2=1.76.2.7 http://lists.opensuse.org/opensuse-security-announce/2010-05/msg00001.html http://moodle.org/security http://www.vupen.com/english/advisories/2010/1107 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •

CVSS: 4.3EPSS: 0%CPEs: 22EXPL: 0

Cross-site scripting (XSS) vulnerability in the phpCAS client library before 1.1.0, as used in Moodle 1.8.x before 1.8.12 and 1.9.x before 1.9.8, allows remote attackers to inject arbitrary web script or HTML via a crafted URL, which is not properly handled in an error message. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en la biblioteca de cliente phpCAS anterior a v1.1.0, utilizado en Moodle v1.8.x anterior a v1.8.12 y v1.9.x anterior a v1.9.8, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de una URL manipulada, que no es manejado apropiadamente en un mensaje de error. • http://lists.opensuse.org/opensuse-security-announce/2010-05/msg00001.html http://moodle.org/security http://www.ja-sig.org/issues/browse/PHPCAS-52 http://www.ja-sig.org/wiki/display/CASC/phpCAS+ChangeLog http://www.vupen.com/english/advisories/2010/1107 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •