Page 6 of 189 results (0.041 seconds)

CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0

The redirect URI in the LTI authorization endpoint required extra sanitizing to prevent reflected XSS and open redirect risks. Moodle versions 3.10 to 3.10.3, 3.9 to 3.9.6, 3.8 to 3.8.8 and earlier unsupported versions are affected. El URI de redireccionamiento en el endpoint de autorización de LTI requería un saneamiento adicional para evitar los riesgos de tipo XSS reflejado y redireccionamiento abierto. Moodle versiones 3.10 a 3.10.3, 3.9 a 3.9.6, 3.8 a 3.8.8 y las versiones anteriores no soportadas están afectadas • https://moodle.org/mod/forum/discuss.php?d=422314 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •

CVSS: 8.8EPSS: 0%CPEs: 4EXPL: 0

A flaw was found in Moodle in versions 3.11 to 3.11.4, 3.10 to 3.10.8, 3.9 to 3.9.11 and earlier unsupported versions. The "delete badge alignment" functionality did not include the necessary token check to prevent a CSRF risk. Se ha encontrado un fallo en Moodle en las versiones 3.11 hasta 3.11.4, versiones 3.10 hasta 3.10.8, versiones 3.9 hasta 3.9.11 y versiones anteriores no soportadas. La funcionalidad "delete badge alignment" no incluía la comprobación de tokens necesaria para evitar un riesgo de tipo CSRF • https://bugzilla.redhat.com/show_bug.cgi?id=2043666 https://moodle.org/mod/forum/discuss.php?d=431103 • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 5.5EPSS: 0%CPEs: 4EXPL: 0

A flaw was found in Moodle in versions 3.11 to 3.11.4, 3.10 to 3.10.8, 3.9 to 3.9.11 and earlier unsupported versions. The calendar:manageentries capability allowed managers to access or modify any calendar event, but should have been restricted from accessing user level events. Se ha encontrado un fallo en Moodle versiones 3.11 hasta 3.11.4, versiones 3.10 hasta 3.10.8, versiones 3.9 hasta 3.9.11 y versiones anteriores no soportadas. La capacidad calendar:manageentries permitía a administradores acceder o modificar cualquier evento del calendario, pero debería haberse restringido el acceso a los eventos de nivel de usuario • https://bugzilla.redhat.com/show_bug.cgi?id=2043663 https://moodle.org/mod/forum/discuss.php?d=431100 • CWE-863: Incorrect Authorization •

CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0

A flaw was found in Moodle in versions 3.11 to 3.11.4, 3.10 to 3.10.8, 3.9 to 3.9.11 and earlier unsupported versions. Insufficient capability checks could lead to users accessing their grade report for courses where they did not have the required gradereport/user:view capability. Se encontró un fallo en Moodle versiones 3.11 hasta 3.11.4, versiones 3.10 hasta 3.10.8, versiones 3.9 hasta 3.9.11 y versiones anteriores no soportadas. Una comprobación insuficiente de las capacidades podía conllevar a que usuarios accedieran a su informe de calificaciones para cursos en los que no tenían la capacidad gradereport/user:view requerida • https://bugzilla.redhat.com/show_bug.cgi?id=2043664 https://moodle.org/mod/forum/discuss.php?d=431102 • CWE-668: Exposure of Resource to Wrong Sphere CWE-863: Incorrect Authorization •

CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0

A session hijack risk was identified in the Shibboleth authentication plugin. Se ha identificado un riesgo de secuestro de sesión en el plugin de autenticación Shibboleth • https://bugzilla.redhat.com/show_bug.cgi?id=2043411 •