CVSS: 4.0EPSS: 0%CPEs: 53EXPL: 0CVE-2010-2230
https://notcve.org/view.php?id=CVE-2010-2230
The KSES text cleaning filter in lib/weblib.php in Moodle before 1.8.13 and 1.9.x before 1.9.9 does not properly handle vbscript URIs, which allows remote authenticated users to conduct cross-site scripting (XSS) attacks via HTML input. El filtro de limpieza de KSES en lib/weblib.php en Moodle anteriores a v1.8.13 y v1.9.x anteriores a v1.9.9 no gestiona de forma adecuada direcciones URI vbscript, lo que permite a usuarios autenticados remotos conducir un ataque ejecución de secuencias de comandos (XSS) través de una entrada HTML. • http://cvs.moodle.org/moodle/lib/weblib.php?r1=1.812.2.114&r2=1.812.2.115 http://cvs.moodle.org/moodle/lib/weblib.php?r1=1.970.2.171&r2=1.970.2.172 http://docs.moodle.org/en/Moodle_1.8.13_release_notes http://docs.moodle.org/en/Moodle_1.9.9_release_notes http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043285.html http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043291.html http://lists.fedoraproject.org/pipermail/package-an • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.0EPSS: 0%CPEs: 18EXPL: 0CVE-2010-1616
https://notcve.org/view.php?id=CVE-2010-1616
Moodle 1.8.x and 1.9.x before 1.9.8 can create new roles when restoring a course, which allows teachers to create new accounts even if they do not have the moodle/user:create capability. Moodle v1.8.x y v1.9.x anterior a v1.9.8 puede crear nuevos roles al restaurar un curso, lo cual permite a los profesores crear nuevas cuentas, incluso si no tienen permisos moodle/user:create. • http://lists.opensuse.org/opensuse-security-announce/2010-05/msg00001.html http://moodle.org/security http://tracker.moodle.org/browse/MDL-16658 http://www.vupen.com/english/advisories/2010/1107 •
CVSS: 4.3EPSS: 0%CPEs: 22EXPL: 0CVE-2010-1618
https://notcve.org/view.php?id=CVE-2010-1618
Cross-site scripting (XSS) vulnerability in the phpCAS client library before 1.1.0, as used in Moodle 1.8.x before 1.8.12 and 1.9.x before 1.9.8, allows remote attackers to inject arbitrary web script or HTML via a crafted URL, which is not properly handled in an error message. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en la biblioteca de cliente phpCAS anterior a v1.1.0, utilizado en Moodle v1.8.x anterior a v1.8.12 y v1.9.x anterior a v1.9.8, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de una URL manipulada, que no es manejado apropiadamente en un mensaje de error. • http://lists.opensuse.org/opensuse-security-announce/2010-05/msg00001.html http://moodle.org/security http://www.ja-sig.org/issues/browse/PHPCAS-52 http://www.ja-sig.org/wiki/display/CASC/phpCAS+ChangeLog http://www.vupen.com/english/advisories/2010/1107 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 18EXPL: 0CVE-2010-1614
https://notcve.org/view.php?id=CVE-2010-1614
Multiple cross-site scripting (XSS) vulnerabilities in Moodle 1.8.x before 1.8.12 and 1.9.x before 1.9.8 allow remote attackers to inject arbitrary web script or HTML via vectors related to (1) the Login-As feature or (2) when the global search feature is enabled, unspecified global search forms in the Global Search Engine. NOTE: vector 1 might be resultant from a cross-site request forgery (CSRF) vulnerability. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en Moodle v1.8.x antes de v1.8.12 y v1.9.x antes de v1.9.8 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores relacionados con (1) la característica Login-As (2) cuando la función de búsqueda global está habilitada, formularios de búsqueda global sin especificar enel motor de búsqueda global (Global Search Engine) NOTA: el vector 1 podría ser resultante de una vulnerabilidad de falsificación de petición en sitios cruzados (CSRF). • http://lists.opensuse.org/opensuse-security-announce/2010-05/msg00001.html http://moodle.org/security http://www.vupen.com/english/advisories/2010/1107 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 18EXPL: 0CVE-2010-1619
https://notcve.org/view.php?id=CVE-2010-1619
Cross-site scripting (XSS) vulnerability in the fix_non_standard_entities function in the KSES HTML text cleaning library (weblib.php), as used in Moodle 1.8.x before 1.8.12 and 1.9.x before 1.9.8, allows remote attackers to inject arbitrary web script or HTML via crafted HTML entities. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en la función fix_non_standard_entities en la biblioteca de limpieza de texto KSES HTML (weblib.php), utilizado en Moodle v1.8.x antes de v1.8.12 y v1.9.x antes de v1.9.8, permite a atacantes remotos la ejecución de secuencias de comandos web o HTML a través de entidades HTML manipuladas. • http://lists.opensuse.org/opensuse-security-announce/2010-05/msg00001.html http://moodle.org/security http://www.vupen.com/english/advisories/2010/1107 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •