CVSS: 5.0EPSS: 0%CPEs: 33EXPL: 0CVE-2012-6112
https://notcve.org/view.php?id=CVE-2012-6112
classes/GoogleSpell.php in the PHP Spellchecker (aka Google Spellchecker) addon before 2.0.6.1 for TinyMCE, as used in Moodle 2.1.x before 2.1.10, 2.2.x before 2.2.7, 2.3.x before 2.3.4, and 2.4.x before 2.4.1 and other products, does not properly handle control characters, which allows remote attackers to trigger arbitrary outbound HTTP requests via a crafted string. classes/GoogleSpell.php en PHP Spellchecker (también conocido como Google Spellchecker) complemento anterior a v2.0.6.1 para TinyMCE, también usado en Moodle v2.1.x anterior a v2.1.10, v2.2.x anterior a v2.2.7, v2.3.x anterior a v2.3.4, y 2.4.x anterior a v2.4.1 y otros productos, no maneja adecuadamente los caracteres de control, lo que permite a atacantes remotos ejecutar peticiones arbitrarias HTTP fuera de límite, a través de cadenas modificadas. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-37283 http://openwall.com/lists/oss-security/2013/01/21/1 http://www.tinymce.com/develop/changelog/?type=phpspell http://www.tinymce.com/forum/viewtopic.php?id=30036 https://github.com/tinymce/tinymce_spellchecker_php/commit/22910187bfb9edae90c26e10100d8145b505b974 https://moodle.org/mod/forum/discuss.php?d=220157 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.8EPSS: 0%CPEs: 12EXPL: 0CVE-2012-6103
https://notcve.org/view.php?id=CVE-2012-6103
Multiple cross-site request forgery (CSRF) vulnerabilities in user/messageselect.php in the messaging system in Moodle 2.2.x before 2.2.7, 2.3.x before 2.3.4, and 2.4.x before 2.4.1 allow remote attackers to hijack the authentication of arbitrary users for requests that send course messages. Multiple vulnerabilidad de falsificación de petición en sitios cruzados de user/messageselect.php en el sistema de mensajería de Moodle v2.2.x antes de v2.2.7, v2.3.x antes de v2.3.4, v2.4.1 y v2.4.x antes de permitir a atacantes remotos secuestrar la autenticación de usuarios arbitrarios para las solicitudes que envían mensajes de los cursos. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-36600 http://openwall.com/lists/oss-security/2013/01/21/1 https://moodle.org/mod/forum/discuss.php?d=220164 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.8EPSS: 0%CPEs: 12EXPL: 0CVE-2012-6101
https://notcve.org/view.php?id=CVE-2012-6101
Multiple open redirect vulnerabilities in Moodle 2.2.x before 2.2.7, 2.3.x before 2.3.4, and 2.4.x before 2.4.1 allow remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via vectors related to (1) backup/backupfilesedit.php, (2) comment/comment_post.php, (3) course/switchrole.php, (4) mod/wiki/filesedit.php, (5) tag/coursetags_add.php, or (6) user/files.php. Varias vulnerabilidades de múltiple redirirección en Moodle v2.2.x antes de v2.2.7, v2.3.x antes de v2.3.4, v2.4.x y antes de v2.4.1 que permiten a atacantes remotos redirigir a los usuarios a sitios web arbitrarios y llevar a cabo ataques de phishing a través de vectores relacionados con (1 ) copia de seguridad / backupfilesedit.php, (2) comentario / comment_post.php, (3) course / switchrole.php, (4) mod / wiki / filesedit.php, (5) tag / coursetags_add.php, o (6) de usuario / files.php. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-35991 http://openwall.com/lists/oss-security/2013/01/21/1 https://moodle.org/mod/forum/discuss.php?d=220162 • CWE-20: Improper Input Validation •
CVSS: 4.0EPSS: 0%CPEs: 18EXPL: 0CVE-2012-5473
https://notcve.org/view.php?id=CVE-2012-5473
The Database activity module in Moodle 2.1.x before 2.1.9, 2.2.x before 2.2.6, and 2.3.x before 2.3.3 allows remote authenticated users to read activity entries of a different group's users via an advanced search. El módulo Database activity en Moodle v2.1.x antes de v2.1.9, v2.2.x antes de v2.2.6, y v2.3.x antes de v2.3.3, permite a los atacantes remotos evitar las restricciones previstas en la lectura de las entradas de otros usuarios del grupo a través de una búsqueda avanzada. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-34448 http://openwall.com/lists/oss-security/2012/11/19/1 http://www.securityfocus.com/bid/56505 https://moodle.org/mod/forum/discuss.php?d=216157 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.5EPSS: 0%CPEs: 18EXPL: 0CVE-2012-5471
https://notcve.org/view.php?id=CVE-2012-5471
The Dropbox Repository File Picker in Moodle 2.1.x before 2.1.9, 2.2.x before 2.2.6, and 2.3.x before 2.3.3 allows remote authenticated users to access the Dropbox of a different user by leveraging an unattended workstation after a logout. Dropbox Repository File Picker en Moodle v2.1.x antes de v2.1.9, v2.2.x antes de v2.2.6, y v2.3.x antes de v2.3.3 permite a usuarios remotos autenticados acceder al Dropbox de un usuario diferente al aprovechar una estación de trabajo sin supervisión después de un cierre de sesión. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-29872 http://openwall.com/lists/oss-security/2012/11/19/1 http://www.securityfocus.com/bid/56505 https://moodle.org/mod/forum/discuss.php?d=216155 • CWE-264: Permissions, Privileges, and Access Controls •