CVSS: 4.9EPSS: 0%CPEs: 15EXPL: 0CVE-2012-4402
https://notcve.org/view.php?id=CVE-2012-4402
webservice/lib.php in Moodle 2.1.x before 2.1.8, 2.2.x before 2.2.5, and 2.3.x before 2.3.2 does not properly restrict the use of web-service tokens, which allows remote authenticated users to run arbitrary external-service functions via a token intended for only one service. webservice/lib.php en Moodle v2.1.x antes de v2.1.8, v2.2.x antes de v2.2.5 y v2.3.x antes de v2.3.2 no restringe correctamente el uso de los tokens de los servicios web, lo que permite a usuarios remotos autenticados ejecutar funciones de servicios externos de su elección a través de un token previsto para un solo servicio. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-34368 http://moodle.org/mod/forum/discuss.php?d=211559 http://openwall.com/lists/oss-security/2012/09/17/1 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.0EPSS: 0%CPEs: 15EXPL: 0CVE-2012-4407
https://notcve.org/view.php?id=CVE-2012-4407
lib/filelib.php in Moodle 2.1.x before 2.1.8, 2.2.x before 2.2.5, and 2.3.x before 2.3.2 does not properly check the publication state of blog files, which allows remote attackers to obtain sensitive information by reading a blog entry that references a non-public file. lib/filelib.php en Moodle v2.1.x anterior a v2.1.8, v2.2.x anterior a v2.2.5, y v2.3.x anterior a v2.3.2, no valida adecuadamente el estado de la publicación de los archivos del blog, lo que permite a atacantes remotos obtener información sensible a través de la lectura de una entrada en el blog que referencia a un archivo que no es público. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-34585 http://moodle.org/mod/forum/discuss.php?d=211557 http://openwall.com/lists/oss-security/2012/09/17/1 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.5EPSS: 0%CPEs: 15EXPL: 0CVE-2012-4408
https://notcve.org/view.php?id=CVE-2012-4408
course/reset.php in Moodle 2.1.x before 2.1.8, 2.2.x before 2.2.5, and 2.3.x before 2.3.2 checks an update capability instead of a reset capability, which allows remote authenticated users to bypass intended access restrictions via a reset operation. curso/reset.php en Moodle v2.1.x antes de v2.1.8, v2.2.x antes de v2.2.5 y v2.3.x antes de v2.3.2 comprueba una capacidad de actualización en lugar de una capacidad de restablecimiento (reset), lo que permite a usuarios remotos autenticados evitar las restricciones de acceso a través de una operación de restablecimiento (reset). • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-34519 http://moodle.org/mod/forum/discuss.php?d=211558 http://openwall.com/lists/oss-security/2012/09/17/1 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 4.3EPSS: 0%CPEs: 5EXPL: 0CVE-2012-3389
https://notcve.org/view.php?id=CVE-2012-3389
Multiple cross-site scripting (XSS) vulnerabilities in mod/lti/typessettings.php in Moodle 2.2.x before 2.2.4 and 2.3.x before 2.3.1 allow remote attackers to inject arbitrary web script or HTML via the (1) lti_typename or (2) lti_toolurl parameter. vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en mod/lti/typessettings.php en Moodle v2.2.x anteriores a v2.2.4 y v2.3.x anteriores a v2.3.1, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de los parámetros (1) lti_typename o (2) lti_toolurl. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-31692 http://openwall.com/lists/oss-security/2012/07/17/1 http://secunia.com/advisories/49890 http://www.securityfocus.com/bid/54481 https://exchange.xforce.ibmcloud.com/vulnerabilities/76965 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 3.5EPSS: 0%CPEs: 11EXPL: 0CVE-2012-3390
https://notcve.org/view.php?id=CVE-2012-3390
lib/filelib.php in Moodle 2.1.x before 2.1.7 and 2.2.x before 2.2.4 does not properly restrict file access after a block has been hidden, which allows remote authenticated users to obtain sensitive information by reading a file that is embedded in a block. lib/filelib.php en Moodle v2.1.x anteriores a v2.1.7 y v2.2.x anteriores a v2.2.4 no restringe de forma adecuada el fichero a un fichero después de que un bloque se haya ocultado, lo que permite a usuarios autenticados remotos a obtener información sensible leyendo un fichero que está incluido en un bloque. • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=c58c05ad4f22c6ee1e136a7d4caaddd809a7134d http://openwall.com/lists/oss-security/2012/07/17/1 http://secunia.com/advisories/49890 http://www.securityfocus.com/bid/54481 https://exchange.xforce.ibmcloud.com/vulnerabilities/76956 • CWE-264: Permissions, Privileges, and Access Controls •