CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2021-43559
https://notcve.org/view.php?id=CVE-2021-43559
A flaw was found in Moodle in versions 3.11 to 3.11.3, 3.10 to 3.10.7, 3.9 to 3.9.10 and earlier unsupported versions. The "delete related badge" functionality did not include the necessary token check to prevent a CSRF risk. Se encontró un fallo en Moodle en versiones 3.11 a 3.11.3, 3.10 a 3.10.7, 3.9 a 3.9.10 y versiones anteriores no soportadas. La funcionalidad "delete related badge" no incluía la comprobación de tokens necesaria para evitar un riesgo de tipo CSRF • https://bugzilla.redhat.com/show_bug.cgi?id=2021517 https://moodle.org/mod/forum/discuss.php?d=429099 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.1EPSS: 0%CPEs: 6EXPL: 0CVE-2021-43558
https://notcve.org/view.php?id=CVE-2021-43558
A flaw was found in Moodle in versions 3.11 to 3.11.3, 3.10 to 3.10.7, 3.9 to 3.9.10 and earlier unsupported versions. A URL parameter in the filetype site administrator tool required extra sanitizing to prevent a reflected XSS risk. Se encontró un fallo en Moodle en versiones 3.11 a 3.11.3, 3.10 a 3.10.7, 3.9 a 3.9.10 y versiones anteriores no soportadas. Un parámetro de URL en la herramienta de administración del sitio filetype requería un saneamiento adicional para evitar un riesgo de un ataque de tipo XSS reflejado • https://bugzilla.redhat.com/show_bug.cgi?id=2021515 https://moodle.org/mod/forum/discuss.php?d=429097 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 13%CPEs: 4EXPL: 4CVE-2020-14321 – Moodle Teacher Enrollment Privilege Escalation to RCE
https://notcve.org/view.php?id=CVE-2020-14321
In Moodle before 3.9.1, 3.8.4, 3.7.7 and 3.5.13, teachers of a course were able to assign themselves the manager role within that course. En Moodle versiones anteriores a 3.9.1, 3.8.4, 3.7.7 y 3.5.13, los profesores de un curso podían asignarse a sí mismos el rol de administrador dentro de ese curso. • https://github.com/HoangKien1020/CVE-2020-14321 https://github.com/lanzt/CVE-2020-14321 https://github.com/f0ns1/CVE-2020-14321-modified-exploit https://moodle.org/mod/forum/discuss.php?d=407393 https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/multi/http/moodle_teacher_enrollment_priv_esc_to_rce.rb • CWE-863: Incorrect Authorization •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2019-14827
https://notcve.org/view.php?id=CVE-2019-14827
A vulnerability was found in Moodle where javaScript injection was possible in some Mustache templates via recursive rendering from contexts. Mustache helper tags that were included in template contexts were not being escaped before that context was injected into another Mustache helper, which could result in script injection in some templates. This affects versions 3.7 to 3.7.1, 3.6 to 3.6.5, 3.5 to 3.5.7 and earlier unsupported versions. Se encontró una vulnerabilidad en Moodle donde la inyección de javaScript era posible en algunas plantillas de Moustache por medio de la representación recursiva desde contextos. Las etiquetas de ayuda de Moustache que son incluidos en contextos de plantilla no se escaparon versiones anteriores a que ese contexto se inyectara en otro ayudante de Moustache, lo que podría resultar en una inyección de un script en algunas plantillas. • https://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-62284 https://moodle.org/mod/forum/discuss.php?d=391030 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2019-14831
https://notcve.org/view.php?id=CVE-2019-14831
A vulnerability was found in Moodle 3.7 to 3.7.1, 3.6 to 3.6.5, 3.5 to 3.5.7 and earlier unsupported versions, where forum subscribe link contained an open redirect if forced subscription mode was enabled. If a forum's subscription mode was set to "forced subscription", the forum's subscribe link contained an open redirect. Se encontró una vulnerabilidad en Moodle versiones 3.7 hasta 3.7.1, versiones 3.6 hasta 3.6.5, versiones 3.5 hasta 3.5.7 y versiones anteriores no compatibles, donde el enlace de suscripción al foro contenía un redireccionamiento abierto si el modo de suscripción forzada estaba habilitado. Si el modo de suscripción de un foro estaba configurado en "forced subscription", el enlace de suscripción del foro contenía un redireccionamiento abierto • https://git.moodle.org/gw?p=moodle.git%3Ba=commit%3Bh=32e2e06a8737afb07ee83abb3eacd39f8b181216 https://moodle.org/mod/forum/discuss.php?d=391037 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •