CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2021-40692
https://notcve.org/view.php?id=CVE-2021-40692
21 Jan 2022 — Insufficient capability checks made it possible for teachers to download users outside of their courses. Unas comprobaciones de capacidad insuficientes hicieron posible que los profesores descargaran usuarios fuera de sus cursos • https://bugzilla.redhat.com/show_bug.cgi?id=2043414 • CWE-863: Incorrect Authorization •
CVSS: 6.8EPSS: 0%CPEs: 3EXPL: 0CVE-2021-40693
https://notcve.org/view.php?id=CVE-2021-40693
21 Jan 2022 — An authentication bypass risk was identified in the external database authentication functionality, due to a type juggling vulnerability. Se identificó un riesgo de omisión de autenticación en la funcionalidad external database authentication, debido a una vulnerabilidad de malabarismo de tipos • https://bugzilla.redhat.com/show_bug.cgi?id=2043417 • CWE-287: Improper Authentication •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2021-40694
https://notcve.org/view.php?id=CVE-2021-40694
21 Jan 2022 — Insufficient escaping of the LaTeX preamble made it possible for site administrators to read files available to the HTTP server system account. Un escape insuficiente del preámbulo de LaTeX hacía posible que los administradores del sitio leyeran archivos disponibles para la cuenta del sistema del servidor HTTP • https://bugzilla.redhat.com/show_bug.cgi?id=2043421 • CWE-116: Improper Encoding or Escaping of Output •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-43560
https://notcve.org/view.php?id=CVE-2021-43560
22 Nov 2021 — A flaw was found in Moodle in versions 3.11 to 3.11.3, 3.10 to 3.10.7, 3.9 to 3.9.10 and earlier unsupported versions. Insufficient capability checks made it possible to fetch other users' calendar action events. Se ha encontrado un fallo en Moodle en versiones 3.11 hasta 3.11.3, versiones 3.10 hasta 3.10.7, versiones 3.9 hasta 3.9.10 y versiones anteriores no soportadas. Las comprobaciones de capacidad insuficientes permitían conseguir los eventos de acción del calendario de otros usuarios • https://bugzilla.redhat.com/show_bug.cgi?id=2021519 • CWE-668: Exposure of Resource to Wrong Sphere CWE-863: Incorrect Authorization •
CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2021-43559
https://notcve.org/view.php?id=CVE-2021-43559
22 Nov 2021 — A flaw was found in Moodle in versions 3.11 to 3.11.3, 3.10 to 3.10.7, 3.9 to 3.9.10 and earlier unsupported versions. The "delete related badge" functionality did not include the necessary token check to prevent a CSRF risk. Se encontró un fallo en Moodle en versiones 3.11 a 3.11.3, 3.10 a 3.10.7, 3.9 a 3.9.10 y versiones anteriores no soportadas. La funcionalidad "delete related badge" no incluía la comprobación de tokens necesaria para evitar un riesgo de tipo CSRF • https://bugzilla.redhat.com/show_bug.cgi?id=2021517 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.1EPSS: 0%CPEs: 6EXPL: 0CVE-2021-43558
https://notcve.org/view.php?id=CVE-2021-43558
22 Nov 2021 — A flaw was found in Moodle in versions 3.11 to 3.11.3, 3.10 to 3.10.7, 3.9 to 3.9.10 and earlier unsupported versions. A URL parameter in the filetype site administrator tool required extra sanitizing to prevent a reflected XSS risk. Se encontró un fallo en Moodle en versiones 3.11 a 3.11.3, 3.10 a 3.10.7, 3.9 a 3.9.10 y versiones anteriores no soportadas. Un parámetro de URL en la herramienta de administración del sitio filetype requería un saneamiento adicional para evitar un riesgo de un ataque de tipo X... • https://bugzilla.redhat.com/show_bug.cgi?id=2021515 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 1%CPEs: 3EXPL: 0CVE-2021-3943
https://notcve.org/view.php?id=CVE-2021-3943
22 Nov 2021 — A flaw was found in Moodle in versions 3.11 to 3.11.3, 3.10 to 3.10.7, 3.9 to 3.9.10 and earlier unsupported versions. A remote code execution risk when restoring backup files was identified. Se ha encontrado un fallo en Moodle en versiones 3.11 a 3.11.3, 3.10 a 3.10.7, 3.9 a 3.9.10 y versiones anteriores no soportadas. Se ha identificado un riesgo de ejecución de código remota cuando se restauran archivos de copia de seguridad • https://bugzilla.redhat.com/show_bug.cgi?id=2021963 • CWE-20: Improper Input Validation •
CVSS: 9.0EPSS: 63%CPEs: 4EXPL: 4CVE-2020-14321 – Moodle Teacher Enrollment Privilege Escalation / Remote Code Execution
https://notcve.org/view.php?id=CVE-2020-14321
12 Oct 2021 — In Moodle before 3.9.1, 3.8.4, 3.7.7 and 3.5.13, teachers of a course were able to assign themselves the manager role within that course. En Moodle versiones anteriores a 3.9.1, 3.8.4, 3.7.7 y 3.5.13, los profesores de un curso podían asignarse a sí mismos el rol de administrador dentro de ese curso. • https://packetstorm.news/files/id/164480 • CWE-863: Incorrect Authorization •
CVSS: 9.1EPSS: 69%CPEs: 1EXPL: 4CVE-2021-21809 – Moodle SpellChecker Path Authenticated Remote Command Execution
https://notcve.org/view.php?id=CVE-2021-21809
23 Jun 2021 — A command execution vulnerability exists in the default legacy spellchecker plugin in Moodle 3.10. A specially crafted series of HTTP requests can lead to command execution. An attacker must have administrator privileges to exploit this vulnerabilities. Se presenta una vulnerabilidad de ejecución de comandos en el plugin default legacy spellchecker en Moodle versión 3.10. Una serie de peticiones HTTP especialmente diseñadas pueden conllevar a una ejecución de comandos. • https://packetstorm.news/files/id/164481 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2021-32244
https://notcve.org/view.php?id=CVE-2021-32244
16 Jun 2021 — Cross Site Scripting (XSS) in Moodle 3.10.3 allows remote attackers to execute arbitrary web script or HTML via the "Description" field. Una vulnerabilidad de tipo Cross Site Scripting (XSS) en Moodle versión 3.10.3, permite a atacantes remotos ejecutar un script web o HTML arbitrario por medio del campo "Description" • https://github.com/langkexiansheng/Images/blob/master/moodle_xss.gif • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •