CVSS: 5.0EPSS: 0%CPEs: 22EXPL: 0CVE-2012-6105
https://notcve.org/view.php?id=CVE-2012-6105
blog/rsslib.php in Moodle 2.1.x before 2.1.10, 2.2.x before 2.2.7, 2.3.x before 2.3.4, and 2.4.x before 2.4.1 continues to provide a blog RSS feed after blogging is disabled, which allows remote attackers to obtain sensitive information by reading this feed. blog/rsslib.php en Moodle v2.1.x antes de v2.1.10, v2.2.x antes de v2.2.7, v2.3.x antes de v2.3.4, v2.4.x antes de v2.4.1 que continúa proporcionando un canal de blog RSS después de blogging se desactive , que permite a atacantes remotos obtener información sensible mediante la lectura de este feed. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-37467 http://openwall.com/lists/oss-security/2013/01/21/1 https://moodle.org/mod/forum/discuss.php?d=220166 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.0EPSS: 0%CPEs: 12EXPL: 0CVE-2012-6100
https://notcve.org/view.php?id=CVE-2012-6100
report/outline/index.php in Moodle 2.2.x before 2.2.7, 2.3.x before 2.3.4, and 2.4.x before 2.4.1 does not properly enforce the moodle/user:viewhiddendetails capability requirement, which allows remote authenticated users to discover a hidden lastaccess value by reading an activity report. report/outline/index.php en Moodle v2.2.x anterior a v2.2.7, v2.3.x anterior a v2.3.4, y v2.4.x anterior a v2.4.1 o se aplican correctamente el requisito "moodle/user:viewhiddendetails capability", lo que permite a atacantes remotos autentificados descubrir un valor oculto "lastaccess" a través de la lectura del reporte de actividad. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-33340 http://openwall.com/lists/oss-security/2013/01/21/1 https://moodle.org/mod/forum/discuss.php?d=220161 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.0EPSS: 0%CPEs: 33EXPL: 0CVE-2012-6112
https://notcve.org/view.php?id=CVE-2012-6112
classes/GoogleSpell.php in the PHP Spellchecker (aka Google Spellchecker) addon before 2.0.6.1 for TinyMCE, as used in Moodle 2.1.x before 2.1.10, 2.2.x before 2.2.7, 2.3.x before 2.3.4, and 2.4.x before 2.4.1 and other products, does not properly handle control characters, which allows remote attackers to trigger arbitrary outbound HTTP requests via a crafted string. classes/GoogleSpell.php en PHP Spellchecker (también conocido como Google Spellchecker) complemento anterior a v2.0.6.1 para TinyMCE, también usado en Moodle v2.1.x anterior a v2.1.10, v2.2.x anterior a v2.2.7, v2.3.x anterior a v2.3.4, y 2.4.x anterior a v2.4.1 y otros productos, no maneja adecuadamente los caracteres de control, lo que permite a atacantes remotos ejecutar peticiones arbitrarias HTTP fuera de límite, a través de cadenas modificadas. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-37283 http://openwall.com/lists/oss-security/2013/01/21/1 http://www.tinymce.com/develop/changelog/?type=phpspell http://www.tinymce.com/forum/viewtopic.php?id=30036 https://github.com/tinymce/tinymce_spellchecker_php/commit/22910187bfb9edae90c26e10100d8145b505b974 https://moodle.org/mod/forum/discuss.php?d=220157 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.8EPSS: 0%CPEs: 12EXPL: 0CVE-2012-6103
https://notcve.org/view.php?id=CVE-2012-6103
Multiple cross-site request forgery (CSRF) vulnerabilities in user/messageselect.php in the messaging system in Moodle 2.2.x before 2.2.7, 2.3.x before 2.3.4, and 2.4.x before 2.4.1 allow remote attackers to hijack the authentication of arbitrary users for requests that send course messages. Multiple vulnerabilidad de falsificación de petición en sitios cruzados de user/messageselect.php en el sistema de mensajería de Moodle v2.2.x antes de v2.2.7, v2.3.x antes de v2.3.4, v2.4.1 y v2.4.x antes de permitir a atacantes remotos secuestrar la autenticación de usuarios arbitrarios para las solicitudes que envían mensajes de los cursos. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-36600 http://openwall.com/lists/oss-security/2013/01/21/1 https://moodle.org/mod/forum/discuss.php?d=220164 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.8EPSS: 0%CPEs: 12EXPL: 0CVE-2012-6101
https://notcve.org/view.php?id=CVE-2012-6101
Multiple open redirect vulnerabilities in Moodle 2.2.x before 2.2.7, 2.3.x before 2.3.4, and 2.4.x before 2.4.1 allow remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via vectors related to (1) backup/backupfilesedit.php, (2) comment/comment_post.php, (3) course/switchrole.php, (4) mod/wiki/filesedit.php, (5) tag/coursetags_add.php, or (6) user/files.php. Varias vulnerabilidades de múltiple redirirección en Moodle v2.2.x antes de v2.2.7, v2.3.x antes de v2.3.4, v2.4.x y antes de v2.4.1 que permiten a atacantes remotos redirigir a los usuarios a sitios web arbitrarios y llevar a cabo ataques de phishing a través de vectores relacionados con (1 ) copia de seguridad / backupfilesedit.php, (2) comentario / comment_post.php, (3) course / switchrole.php, (4) mod / wiki / filesedit.php, (5) tag / coursetags_add.php, o (6) de usuario / files.php. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-35991 http://openwall.com/lists/oss-security/2013/01/21/1 https://moodle.org/mod/forum/discuss.php?d=220162 • CWE-20: Improper Input Validation •