CVE-2008-0123 – Moodle 1.8.3 - 'install.php' Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2008-0123
Cross-site scripting (XSS) vulnerability in install.php for Moodle 1.8.3, and possibly other versions before 1.8.4, allows remote attackers to inject arbitrary web script or HTML via the dbname parameter. NOTE: this issue only exists until the installation is complete. Vulnerabilidad de cruce de directorios (XSS) en install.php de Moodle 1.8.3, y posiblemente otras versiones anteriores a la 1.8.4. Permite que atacantes remotos inyecten, a su elección, códigos web o HTML a traves del parámetro dbname. NOTA: este problema sólo se produce cuando la instalación se ha completado. • https://www.exploit-db.com/exploits/31020 http://archives.neohapsis.com/archives/fulldisclosure/2008-01/0202.html http://int21.de/cve/CVE-2008-0123-moodle.html http://lists.opensuse.org/opensuse-security-announce/2008-02/msg00003.html http://secunia.com/advisories/28838 http://www.securityfocus.com/archive/1/486198/100/0/threaded http://www.securityfocus.com/bid/27259 http://www.vupen.com/english/advisories/2008/0164 https://exchange.xforce.ibmcloud.com/vulnerabilities/39630 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2007-3555 – Moodle 1.7.1 - 'index.php' Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2007-3555
Cross-site scripting (XSS) vulnerability in index.php in Moodle 1.7.1 allows remote attackers to inject arbitrary web script or HTML via a style expression in the search parameter, a different vulnerability than CVE-2004-1424. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en index.php de Moodle 1.7.1 permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través de una expresión de estilo en el parámetro search, una vulnerabilidad diferente de CVE-2004-1424. • https://www.exploit-db.com/exploits/30261 http://secunia.com/advisories/25929 http://securityreason.com/securityalert/2857 http://securityvulns.ru/Rdocument391.html http://tracker.moodle.org/browse/MDL-10341 http://tracker.moodle.org/secure/IssueNavigator.jspa?mode=hide&requestId=10252 http://websecurity.com.ua/1045 http://www.debian.org/security/2008/dsa-1691 http://www.osvdb.org/36366 http://www.securityfocus.com/archive/1/472727/100/0/threaded http://www.securityfocus.com/ •
CVE-2007-1647 – Moodle 1.5.2 - 'moodledata' Remote Session Disclosure
https://notcve.org/view.php?id=CVE-2007-1647
Moodle 1.5.2 and earlier stores sensitive information under the web root with insufficient access control, and provides directory listings, which allows remote attackers to obtain user names, password hashes, and other sensitive information via a direct request for session (sess_*) files in moodledata/sessions/. Moodle 1.5.2 y anteriores almacena información sensible bajo el web rott con controles de acceso insuficientes, y facilita listado de directorios, lo cual permite a un atacante remoto obtener nombres de usuario, contraseñas hash y otra información sensible a través de respuestas directas para archivos de sesión (sess_*) en moodledata/sessions/. • https://www.exploit-db.com/exploits/3508 http://osvdb.org/43558 https://exchange.xforce.ibmcloud.com/vulnerabilities/33147 •
CVE-2007-1429
https://notcve.org/view.php?id=CVE-2007-1429
Multiple PHP remote file inclusion vulnerabilities in Moodle 1.7.1 allow remote attackers to execute arbitrary PHP code via a URL in the cmd parameter to (1) admin/utfdbmigrate.php or (2) filter.php. Múltiples vulnerabilidades de inclusión remota de archivo en PHP en Moodle 1.7.1 permiten a atacantes remotos ejecutar código PHP de su elección mediante una URL en el parámetro cmd de (1) admin/utfdbmigrate.php o (2) filter.php. • http://securityreason.com/securityalert/2409 http://www.novell.com/linux/security/advisories/2007_15_sr.html http://www.securityfocus.com/archive/1/462556/100/0/threaded •
CVE-2006-6626
https://notcve.org/view.php?id=CVE-2006-6626
Cross-site scripting (XSS) vulnerability in an unspecified component of Moodle 1.5 allows remote attackers to inject arbitrary web script or HTML via a javascript URI in the SRC attribute of an IMG element. NOTE: The provenance of this information is unknown; the details are obtained solely from third party information. NOTE: It is unclear whether this candidate overlaps CVE-2006-4784 or CVE-2006-4941. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en un componente desconocido del Moodle 1.5 permite a atacantes remotos la inyección de secuencias de comandos web o HTML de su elección a través de un javascript URI en el atributo SRC del elemento IMG. NOTA: la procedencia de esta información es desconocida; los detalles se obtienen a partir de la información de terceros. • http://www.securityfocus.com/bid/21596 http://www.securityfocus.com/data/vulnerabilities/exploits/21596.html •