CVE-2010-2231
https://notcve.org/view.php?id=CVE-2010-2231
Cross-site request forgery (CSRF) vulnerability in report/overview/report.php in the quiz module in Moodle before 1.8.13 and 1.9.x before 1.9.9 allows remote attackers to hijack the authentication of arbitrary users for requests that delete quiz attempts via the attemptid parameter. Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en report/overview/report.php en el módulo quiz en Moodle anteriores a v1.8.13 y v1.9.x anteriores a v1.9.9, permite a atacantes remotos secuestrar la autenticación de usuarios de su elección que borran intentos del test a través del parámetro attempid. • http://cvs.moodle.org/moodle/mod/quiz/report/overview/report.php?r1=1.98.2.50&r2=1.98.2.51 http://docs.moodle.org/en/Moodle_1.8.13_release_notes http://docs.moodle.org/en/Moodle_1.9.9_release_notes http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043285.html http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043291.html http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043340.html http://lists.opensuse.org/opensuse-security • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2010-2230
https://notcve.org/view.php?id=CVE-2010-2230
The KSES text cleaning filter in lib/weblib.php in Moodle before 1.8.13 and 1.9.x before 1.9.9 does not properly handle vbscript URIs, which allows remote authenticated users to conduct cross-site scripting (XSS) attacks via HTML input. El filtro de limpieza de KSES en lib/weblib.php en Moodle anteriores a v1.8.13 y v1.9.x anteriores a v1.9.9 no gestiona de forma adecuada direcciones URI vbscript, lo que permite a usuarios autenticados remotos conducir un ataque ejecución de secuencias de comandos (XSS) través de una entrada HTML. • http://cvs.moodle.org/moodle/lib/weblib.php?r1=1.812.2.114&r2=1.812.2.115 http://cvs.moodle.org/moodle/lib/weblib.php?r1=1.970.2.171&r2=1.970.2.172 http://docs.moodle.org/en/Moodle_1.8.13_release_notes http://docs.moodle.org/en/Moodle_1.9.9_release_notes http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043285.html http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043291.html http://lists.fedoraproject.org/pipermail/package-an • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2010-1613
https://notcve.org/view.php?id=CVE-2010-1613
Moodle 1.8.x and 1.9.x before 1.9.8 does not enable the "Regenerate session id during login" setting by default, which makes it easier for remote attackers to conduct session fixation attacks. Moodle v1.8.x y v1.9.x anterior a v1.9.8 no habilita el "Regenerate session id during login" (regenerar id de sesión al acceder) como configuración por defecto, lo cual facilita a los atacantes remotos realizar ataques de fijación de sesión. • http://lists.opensuse.org/opensuse-security-announce/2010-05/msg00001.html http://moodle.org/security http://www.vupen.com/english/advisories/2010/1107 • CWE-287: Improper Authentication •
CVE-2010-1617
https://notcve.org/view.php?id=CVE-2010-1617
user/view.php in Moodle 1.8.x before 1.8.12 and 1.9.x before 1.9.8 does not properly check a role, which allows remote authenticated users to obtain the full names of other users via the course profile page. user/view.php en Moodle v1.8.x anterior a v1.8.12 y v1.9.x anterior a v1.9.8 no comprueba correctamente un rol, lo cual permite a usuarios remotos autenticados obtener los nombres completos de otros usuarios a través de la página del perfil del curso. • http://cvs.moodle.org/moodle/user/view.php?r1=1.168.2.28&r2=1.168.2.29 http://lists.opensuse.org/opensuse-security-announce/2010-05/msg00001.html http://moodle.org/security http://www.vupen.com/english/advisories/2010/1107 • CWE-264: Permissions, Privileges, and Access Controls •
CVE-2010-1619
https://notcve.org/view.php?id=CVE-2010-1619
Cross-site scripting (XSS) vulnerability in the fix_non_standard_entities function in the KSES HTML text cleaning library (weblib.php), as used in Moodle 1.8.x before 1.8.12 and 1.9.x before 1.9.8, allows remote attackers to inject arbitrary web script or HTML via crafted HTML entities. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en la función fix_non_standard_entities en la biblioteca de limpieza de texto KSES HTML (weblib.php), utilizado en Moodle v1.8.x antes de v1.8.12 y v1.9.x antes de v1.9.8, permite a atacantes remotos la ejecución de secuencias de comandos web o HTML a través de entidades HTML manipuladas. • http://lists.opensuse.org/opensuse-security-announce/2010-05/msg00001.html http://moodle.org/security http://www.vupen.com/english/advisories/2010/1107 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •