CVE-2011-4294
https://notcve.org/view.php?id=CVE-2011-4294
The error-message functionality in Moodle 1.9.x before 1.9.13, 2.0.x before 2.0.4, and 2.1.x before 2.1.1 does not ensure that a continuation link refers to an http or https URL for the local Moodle instance, which might allow attackers to trick users into visiting arbitrary web sites via unspecified vectors. La funcionalidad de mensajes de error en Moodle v1.9.x anterior a v1.9.13, v2.0.x anterior a v2.0.4, v2.1.1 y v2.1.x no garantiza que un enlace de continuidad se refiera a una dirección http o https para la instancia local de Moodle, lo que podría permitir a un atacante engañar a los usuarios a visitar sitios web a través de arbitrarias vectores no especificados. • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=8f9f666c902cb30ef6f519353f38c45a29fdf4a6 http://moodle.org/mod/forum/discuss.php?d=182737 http://openwall.com/lists/oss-security/2011/11/14/1 • CWE-20: Improper Input Validation •
CVE-2011-4288
https://notcve.org/view.php?id=CVE-2011-4288
Moodle 1.9.x before 1.9.12 and 2.0.x before 2.0.3 does not properly implement associations between teachers and groups, which allows remote authenticated users to read quiz reports of arbitrary students by leveraging the teacher role. Moodle v1.9.x anterior a v1.9.12 y v2.0.x anterior a v2.0.3 no aplica correctamente las asociaciones entre los profesores y los grupos, lo que permite a usuarios remotos autenticados leer los informes de examen de los estudiantes arbitrarios mediante el aprovechamiento de la función docente. • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=79c6e3a0968ee1fedcf8a1f14f8086fcd9dbd3f6 http://moodle.org/mod/forum/discuss.php?d=175590 http://openwall.com/lists/oss-security/2011/11/14/1 • CWE-264: Permissions, Privileges, and Access Controls •
CVE-2011-4278
https://notcve.org/view.php?id=CVE-2011-4278
Cross-site scripting (XSS) vulnerability in the tag autocomplete functionality in Moodle 1.9.x before 1.9.11 and 2.0.x before 2.0.2 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en la funcionalidad de autocompletado de etiquetas en Moodle v1.9.x antes de v1.9.11 y v2.0.x antes de v2.0.2 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores no especificados. • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=fd29b2ad1c20906da00d7e523f39bc8a0358a65b http://moodle.org/mod/forum/discuss.php?d=170003 http://openwall.com/lists/oss-security/2011/11/14/1 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2011-4286
https://notcve.org/view.php?id=CVE-2011-4286
Multiple cross-site scripting (XSS) vulnerabilities in the media-filter implementation in filter/mediaplugin/filter.php in Moodle 1.9.x before 1.9.11 and 2.0.x before 2.0.2 allow remote attackers to inject arbitrary web script or HTML via vectors involving (1) Flash Video (aka FLV) files and (2) YouTube videos. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en la implementación de medios de filtro en filter/mediaplugin/filter.php en Moodle v1.9.x anterior a v1.9.11 y v2.0.x anterior a v2.0.2 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores relacionados con (1) flash Video (también conocido como FLV) y (2) videos de YouTube. • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=8f81bfd412c6b2e93a5b15711727d5cb7cc78336 http://moodle.org/mod/forum/discuss.php?d=170012 http://openwall.com/lists/oss-security/2011/11/14/1 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2011-4301
https://notcve.org/view.php?id=CVE-2011-4301
The MoodleQuickForm class in the Forms Library in lib/formslib.php in Moodle 1.9.x before 1.9.14, 2.0.x before 2.0.5, and 2.1.x before 2.1.2 does not recognize Forms API setConstant operations, which allows remote attackers to submit unexpected form content by modifying the values of constant fields. La clase MoodleQuickForm en la biblioteca de formularios en lib/formslib.php en Moodle v1.9.x antes de v1.9.14, v2.0.x antes de v2.0.5 y v2.1.x antes de v2.1.2 no reconoce las operaciones setConstant de Forms API, lo que permite a atacantes remotos presentar el contenido de forma inesperada mediante la modificación de los valores de los campos constantes. • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=f1f70bd4dde6cd1ea4bdb8ab28fa3d36a53b89d8 http://moodle.org/mod/forum/discuss.php?d=188313 https://bugzilla.redhat.com/show_bug.cgi?id=747444 •