CVSS: 6.8EPSS: 0%CPEs: 23EXPL: 0CVE-2011-4587
https://notcve.org/view.php?id=CVE-2011-4587
lib/moodlelib.php in Moodle 1.9.x before 1.9.15, 2.0.x before 2.0.6, and 2.1.x before 2.1.3 does not properly handle certain zero values in the password policy, which makes it easier for remote attackers to obtain access by leveraging the possible existence of user accounts that have unchangeable blank passwords. lib/moodlelib.php en Moodle v1.9.x antes de v1.9.15, v2.0.x antes de v2.0.6 y v2.1.x antes de v2.1.3 no maneja adecuadamente ciertos valores de cero en la política de contraseñas, lo que hace que sea más fácil para los atacantes remotos a la hora de obtener acceso aprovechándose de la posible existencia de cuentas de usuario con contraseñas en blanco. • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=e079e82c087becf06d902089d14f3f76686bde19 http://moodle.org/mod/forum/discuss.php?d=191755 http://www.debian.org/security/2012/dsa-2421 https://bugzilla.redhat.com/show_bug.cgi?id=761248 • CWE-255: Credentials Management Errors •
CVSS: 5.0EPSS: 0%CPEs: 24EXPL: 1CVE-2011-4203
https://notcve.org/view.php?id=CVE-2011-4203
CRLF injection vulnerability in calendar/set.php in the Calendar component in Moodle 1.9.x before 1.9.15, 2.0.x before 2.0.6, 2.1.x before 2.1.3, and 2.2 allows remote attackers to inject arbitrary HTTP headers and conduct HTTP response splitting attacks via vectors involving the url variable. Vulnerabilidad de inyección en CRLF en ficheros calendar/set.php en el componente Calendar en Moodle v1.9.x anteriores a v1.9.15, v2.0.x anteriores a v2.0.6, v2.1.x anteriores a v2.1.3, y v2.2 permiten a atacantes remotos injectar cabeceras HTTP de su elección y realizar ataques de división de respuesta HTTP a través de vectores de ataque en los que participa la variable de url. • http://penturalabs.wordpress.com/2011/12/13/advisory-crlf-injection-vulnerability-in-moodle http://tracker.moodle.org/browse/MDL-24808 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 5.0EPSS: 0%CPEs: 1EXPL: 1CVE-2011-3757
https://notcve.org/view.php?id=CVE-2011-3757
Moodle 2.0.1 allows remote attackers to obtain sensitive information via a direct request to a .php file, which reveals the installation path in an error message, as demonstrated by webservice/xmlrpc/locallib.php and certain other files. Moodle v2.0.1 permite a atacantes remotos obtener información sensible a través de una petición directa a un archivo .php, lo que revela la ruta de instalación en un mensaje de error, como se demostró con webservice/xmlrpc/locallib.php y algunos otros archivos. • http://code.google.com/p/inspathx/source/browse/trunk/paths_vuln/%21_README http://code.google.com/p/inspathx/source/browse/trunk/paths_vuln/moodle-2.0.1 http://www.openwall.com/lists/oss-security/2011/06/27/6 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.8EPSS: 0%CPEs: 53EXPL: 0CVE-2010-2231
https://notcve.org/view.php?id=CVE-2010-2231
Cross-site request forgery (CSRF) vulnerability in report/overview/report.php in the quiz module in Moodle before 1.8.13 and 1.9.x before 1.9.9 allows remote attackers to hijack the authentication of arbitrary users for requests that delete quiz attempts via the attemptid parameter. Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en report/overview/report.php en el módulo quiz en Moodle anteriores a v1.8.13 y v1.9.x anteriores a v1.9.9, permite a atacantes remotos secuestrar la autenticación de usuarios de su elección que borran intentos del test a través del parámetro attempid. • http://cvs.moodle.org/moodle/mod/quiz/report/overview/report.php?r1=1.98.2.50&r2=1.98.2.51 http://docs.moodle.org/en/Moodle_1.8.13_release_notes http://docs.moodle.org/en/Moodle_1.9.9_release_notes http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043285.html http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043291.html http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043340.html http://lists.opensuse.org/opensuse-security&# • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 53EXPL: 0CVE-2010-2229
https://notcve.org/view.php?id=CVE-2010-2229
Multiple cross-site scripting (XSS) vulnerabilities in blog/index.php in Moodle before 1.8.13 and 1.9.x before 1.9.9 allow remote attackers to inject arbitrary web script or HTML via unspecified parameters. vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en blog/index.php en Moodle anteriores a v1.8.13 y v1.9.x anteriores a v1.9.9, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de parámetros no especificados. • http://cvs.moodle.org/moodle/blog/lib.php?r1=1.62.2.9&r2=1.62.2.10 http://cvs.moodle.org/moodle/blog/lib.php?r1=1.80.2.20&r2=1.80.2.21 http://docs.moodle.org/en/Moodle_1.8.13_release_notes http://docs.moodle.org/en/Moodle_1.9.9_release_notes http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043285.html http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043291.html http://lists.fedoraproject.org/pipermail/package-announce/2 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •