CVSS: 6.4EPSS: 0%CPEs: 5EXPL: 0CVE-2011-4293
https://notcve.org/view.php?id=CVE-2011-4293
The theme implementation in Moodle 2.0.x before 2.0.4 and 2.1.x before 2.1.1 triggers duplicate caching of Cascading Style Sheets (CSS) and JavaScript content, which allows remote attackers to bypass intended access restrictions and write to an operating-system temporary directory via unspecified vectors. La implementación tema en Moodle v2.0.x antes de v2.0.4 y v2.1.x antes de v2.1.1 dispara duplicados de almacenamiento en caché de las Hojas de Estilo en Cascada (CSS) y el contenido de JavaScript, lo que permite a atacantes remotos evitar las restricciones de acceso previstos y escribir en un sistema operativo directorio temporal a través de vectores no especificados. • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=e1c2a211f259821910be2cba23679d4176fb00a3 http://moodle.org/mod/forum/discuss.php?d=182736 http://openwall.com/lists/oss-security/2011/11/14/1 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 4.0EPSS: 0%CPEs: 13EXPL: 0CVE-2011-4288
https://notcve.org/view.php?id=CVE-2011-4288
Moodle 1.9.x before 1.9.12 and 2.0.x before 2.0.3 does not properly implement associations between teachers and groups, which allows remote authenticated users to read quiz reports of arbitrary students by leveraging the teacher role. Moodle v1.9.x anterior a v1.9.12 y v2.0.x anterior a v2.0.3 no aplica correctamente las asociaciones entre los profesores y los grupos, lo que permite a usuarios remotos autenticados leer los informes de examen de los estudiantes arbitrarios mediante el aprovechamiento de la función docente. • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=79c6e3a0968ee1fedcf8a1f14f8086fcd9dbd3f6 http://moodle.org/mod/forum/discuss.php?d=175590 http://openwall.com/lists/oss-security/2011/11/14/1 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 4.3EPSS: 0%CPEs: 12EXPL: 0CVE-2011-4278
https://notcve.org/view.php?id=CVE-2011-4278
Cross-site scripting (XSS) vulnerability in the tag autocomplete functionality in Moodle 1.9.x before 1.9.11 and 2.0.x before 2.0.2 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en la funcionalidad de autocompletado de etiquetas en Moodle v1.9.x antes de v1.9.11 y v2.0.x antes de v2.0.2 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores no especificados. • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=fd29b2ad1c20906da00d7e523f39bc8a0358a65b http://moodle.org/mod/forum/discuss.php?d=170003 http://openwall.com/lists/oss-security/2011/11/14/1 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2011-4282
https://notcve.org/view.php?id=CVE-2011-4282
Multiple cross-site scripting (XSS) vulnerabilities in the course-tags functionality in tag/coursetags_more.php in Moodle 2.0.x before 2.0.2 allow remote attackers to inject arbitrary web script or HTML via the (1) sort or (2) show parameter. Múltiples vulnerabilidades de ejecución de comandos en sitios cruzados (XSS) en la funcionalidad curso-tags en tag/coursetags_more.php en Moodle v2.0.x antes de v2.0.2 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del parámetro (1) sort o (2) show. • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=73de6fa06f6923278950a445bd69b3fbc1e518d2 http://moodle.org/mod/forum/discuss.php?d=170008 http://openwall.com/lists/oss-security/2011/11/14/1 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.8EPSS: 0%CPEs: 17EXPL: 0CVE-2011-4294
https://notcve.org/view.php?id=CVE-2011-4294
The error-message functionality in Moodle 1.9.x before 1.9.13, 2.0.x before 2.0.4, and 2.1.x before 2.1.1 does not ensure that a continuation link refers to an http or https URL for the local Moodle instance, which might allow attackers to trick users into visiting arbitrary web sites via unspecified vectors. La funcionalidad de mensajes de error en Moodle v1.9.x anterior a v1.9.13, v2.0.x anterior a v2.0.4, v2.1.1 y v2.1.x no garantiza que un enlace de continuidad se refiera a una dirección http o https para la instancia local de Moodle, lo que podría permitir a un atacante engañar a los usuarios a visitar sitios web a través de arbitrarias vectores no especificados. • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=8f9f666c902cb30ef6f519353f38c45a29fdf4a6 http://moodle.org/mod/forum/discuss.php?d=182737 http://openwall.com/lists/oss-security/2011/11/14/1 • CWE-20: Improper Input Validation •