CVSS: 6.8EPSS: 0%CPEs: 3EXPL: 0CVE-2011-4287
https://notcve.org/view.php?id=CVE-2011-4287
admin/uploaduser_form.php in Moodle 2.0.x before 2.0.3 does not force password changes for autosubscribed users, which makes it easier for remote attackers to obtain access by leveraging knowledge of the initial password of a new user. admin/uploaduser_form.php en Moodle v2.0.x anteriores a la v2.0.3 no fuerza a los usuarios autosubscribed a cambiar su contraseña, lo que hace que sea más fácil para los atacantes remotos obtener acceso aprovechándose de conocer la contraseña inicial de un nuevo usuario. • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=22a77963439e00441949440f0517135b3a5418da http://moodle.org/mod/forum/discuss.php?d=175588 http://openwall.com/lists/oss-security/2011/11/14/1 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.5EPSS: 0%CPEs: 5EXPL: 0CVE-2011-4296
https://notcve.org/view.php?id=CVE-2011-4296
lib/db/access.php in Moodle 2.0.x before 2.0.4 and 2.1.x before 2.1.1 assigns incorrect capabilities to the course-creator role, which allows remote authenticated users to modify course filters by leveraging this role. lib/db/access.php en Moodle v2.0.x anterior a v2.0.4 y v2.1.x anterior a v2.1.1 asigna funciones incorrectas para el rol course-creator, permite a usuarios remotos autenticados para modificar los filtros del curso mediante el aprovechamiento de este papel. • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=88d823c1f491a3c74f67bbf74306a8d1109dee02 http://moodle.org/mod/forum/discuss.php?d=182739 http://openwall.com/lists/oss-security/2011/11/14/1 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.4EPSS: 0%CPEs: 5EXPL: 0CVE-2011-4297
https://notcve.org/view.php?id=CVE-2011-4297
comment/lib.php in Moodle 2.0.x before 2.0.4 and 2.1.x before 2.1.1 does not properly restrict comment capabilities, which allows remote attackers to post a comment by leveraging the guest role and operating on a front-page activity. comment/lib.php en Moodle v2.0.x anterior a v2.0.4 y v2.1.x anterior a v2.1.1 no restringe adecuadamente las capacidades de comentarios, lo que permite a atacantes remotos para escribir un comentario, aprovechando el papel de la huésped y el funcionamiento de una actividad de primera página • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=9da3c2efadcc5f56cb8adc19c67ed16be35780f3 http://moodle.org/mod/forum/discuss.php?d=182740 http://openwall.com/lists/oss-security/2011/11/14/1 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 4.3EPSS: 0%CPEs: 12EXPL: 0CVE-2011-4286
https://notcve.org/view.php?id=CVE-2011-4286
Multiple cross-site scripting (XSS) vulnerabilities in the media-filter implementation in filter/mediaplugin/filter.php in Moodle 1.9.x before 1.9.11 and 2.0.x before 2.0.2 allow remote attackers to inject arbitrary web script or HTML via vectors involving (1) Flash Video (aka FLV) files and (2) YouTube videos. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en la implementación de medios de filtro en filter/mediaplugin/filter.php en Moodle v1.9.x anterior a v1.9.11 y v2.0.x anterior a v2.0.2 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores relacionados con (1) flash Video (también conocido como FLV) y (2) videos de YouTube. • http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=8f81bfd412c6b2e93a5b15711727d5cb7cc78336 http://moodle.org/mod/forum/discuss.php?d=170012 http://openwall.com/lists/oss-security/2011/11/14/1 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 1CVE-2011-4280 – Moodle 2.0.1 - 'PHPCOVERAGE_HOME' Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2011-4280
Cross-site scripting (XSS) vulnerability in the Spike PHPCoverage (aka spikephpcoverage) library, as used in Moodle 2.0.x before 2.0.2 and other products, allows remote attackers to inject arbitrary web script or HTML via unspecified vectors. Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en la biblioteca PHPCoverage Spike (también conocido como spikephpcoverage) , tal y como se utiliza en Moodle v2.0.x antes de v2.0.2 y otros productos, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores no especificados. • https://www.exploit-db.com/exploits/35297 http://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=bd654f0ced8af925c27b7c94321f0c299b50b38e http://moodle.org/mod/forum/discuss.php?d=170005 http://openwall.com/lists/oss-security/2011/11/14/1 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •