CVSS: 6.8EPSS: 0%CPEs: 53EXPL: 0CVE-2010-2231
https://notcve.org/view.php?id=CVE-2010-2231
Cross-site request forgery (CSRF) vulnerability in report/overview/report.php in the quiz module in Moodle before 1.8.13 and 1.9.x before 1.9.9 allows remote attackers to hijack the authentication of arbitrary users for requests that delete quiz attempts via the attemptid parameter. Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en report/overview/report.php en el módulo quiz en Moodle anteriores a v1.8.13 y v1.9.x anteriores a v1.9.9, permite a atacantes remotos secuestrar la autenticación de usuarios de su elección que borran intentos del test a través del parámetro attempid. • http://cvs.moodle.org/moodle/mod/quiz/report/overview/report.php?r1=1.98.2.50&r2=1.98.2.51 http://docs.moodle.org/en/Moodle_1.8.13_release_notes http://docs.moodle.org/en/Moodle_1.9.9_release_notes http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043285.html http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043291.html http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043340.html http://lists.opensuse.org/opensuse-security&# • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.8EPSS: 0%CPEs: 18EXPL: 0CVE-2010-1613
https://notcve.org/view.php?id=CVE-2010-1613
Moodle 1.8.x and 1.9.x before 1.9.8 does not enable the "Regenerate session id during login" setting by default, which makes it easier for remote attackers to conduct session fixation attacks. Moodle v1.8.x y v1.9.x anterior a v1.9.8 no habilita el "Regenerate session id during login" (regenerar id de sesión al acceder) como configuración por defecto, lo cual facilita a los atacantes remotos realizar ataques de fijación de sesión. • http://lists.opensuse.org/opensuse-security-announce/2010-05/msg00001.html http://moodle.org/security http://www.vupen.com/english/advisories/2010/1107 • CWE-287: Improper Authentication •
CVSS: 4.3EPSS: 0%CPEs: 18EXPL: 0CVE-2010-1614
https://notcve.org/view.php?id=CVE-2010-1614
Multiple cross-site scripting (XSS) vulnerabilities in Moodle 1.8.x before 1.8.12 and 1.9.x before 1.9.8 allow remote attackers to inject arbitrary web script or HTML via vectors related to (1) the Login-As feature or (2) when the global search feature is enabled, unspecified global search forms in the Global Search Engine. NOTE: vector 1 might be resultant from a cross-site request forgery (CSRF) vulnerability. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en Moodle v1.8.x antes de v1.8.12 y v1.9.x antes de v1.9.8 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores relacionados con (1) la característica Login-As (2) cuando la función de búsqueda global está habilitada, formularios de búsqueda global sin especificar enel motor de búsqueda global (Global Search Engine) NOTA: el vector 1 podría ser resultante de una vulnerabilidad de falsificación de petición en sitios cruzados (CSRF). • http://lists.opensuse.org/opensuse-security-announce/2010-05/msg00001.html http://moodle.org/security http://www.vupen.com/english/advisories/2010/1107 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 18EXPL: 0CVE-2010-1615
https://notcve.org/view.php?id=CVE-2010-1615
Multiple SQL injection vulnerabilities in Moodle 1.8.x before 1.8.12 and 1.9.x before 1.9.8 allow remote attackers to execute arbitrary SQL commands via vectors related to (1) the add_to_log function in mod/wiki/view.php in the wiki module, or (2) "data validation in some forms elements" related to lib/form/selectgroups.php. Múltiples vulnerabilidades de inyección SQL en Moodle v1.8.x anterior a v1.8.12 y v1.9.x anterior a v1.9.8 permite a atacantes remotos ejecutar comandos SQL a través de vectores relacionados con (1) la función add_to_log en mod/wiki/view.php en el módulo wiki, o (2) "la validación de datos en algunos elementos de formularios" relacionado con lib/form/selectgroups.php. • http://cvs.moodle.org/moodle/lib/form/selectgroups.php?r1=1.2.4.2&r2=1.2.4.3 http://cvs.moodle.org/moodle/mod/wiki/view.php?r1=1.76.2.6&r2=1.76.2.7 http://lists.opensuse.org/opensuse-security-announce/2010-05/msg00001.html http://moodle.org/security http://www.vupen.com/english/advisories/2010/1107 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 4.0EPSS: 0%CPEs: 18EXPL: 0CVE-2010-1616
https://notcve.org/view.php?id=CVE-2010-1616
Moodle 1.8.x and 1.9.x before 1.9.8 can create new roles when restoring a course, which allows teachers to create new accounts even if they do not have the moodle/user:create capability. Moodle v1.8.x y v1.9.x anterior a v1.9.8 puede crear nuevos roles al restaurar un curso, lo cual permite a los profesores crear nuevas cuentas, incluso si no tienen permisos moodle/user:create. • http://lists.opensuse.org/opensuse-security-announce/2010-05/msg00001.html http://moodle.org/security http://tracker.moodle.org/browse/MDL-16658 http://www.vupen.com/english/advisories/2010/1107 •