CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2019-18210
https://notcve.org/view.php?id=CVE-2019-18210
Persistent XSS in /course/modedit.php of Moodle through 3.7.2 allows authenticated users (Teacher and above) to inject JavaScript into the session of another user (e.g., enrolled student or site administrator) via the introeditor[text] parameter. NOTE: the discoverer and vendor disagree on whether Moodle customers have a reasonable expectation that anyone authenticated as a Teacher can be trusted with the ability to add arbitrary JavaScript (this ability is not documented on Moodle's Teacher_role page). Because the vendor has this expectation, they have stated "this report has been closed as a false positive, and not a bug." ** EN DISPUTA ** Un vulnerabilidad de tipo XSS persistente en el archivo /course/modedit.php de Moodle versiones hasta 3.7.2, permite a usuarios autenticados (Teacher y superior) inyectar JavaScript en la sesión de otro usuario (por ejemplo, enrolled student o site administrator) por medio del parámetro introeditor[text]. NOTA: el descubridor y el suplidor no están de acuerdo sobre si los clientes de Moodle tienen una expectativa razonable de que cualquier persona autenticada como Teacher pueda ser confiable en la capacidad de agregar JavaScript arbitrario (esta capacidad no está documentada en la página Teacher_role de Moodle). Debido a que el suplidor tiene esta expectativa, ha declarado que "este informe se ha cerrado como un falso positivo y no como un error". • https://docs.moodle.org/38/en/Teacher_role https://gist.github.com/Danbardo/4a6b0fe8cb21ec6d7c54e6ac951bdb0a • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0CVE-2012-1161
https://notcve.org/view.php?id=CVE-2012-1161
Moodle before 2.2.2: Course information leak via hidden courses being displayed in tag search results Moodle versiones anteriores a la versión 2.2.2: filtra información del curso por medio de cursos ocultos que son mostrados en los resultados de búsqueda de etiquetas. • http://lists.fedoraproject.org/pipermail/package-announce/2012-April/077635.html http://lists.fedoraproject.org/pipermail/package-announce/2012-April/078209.html http://lists.fedoraproject.org/pipermail/package-announce/2012-April/078210.html http://lists.fedoraproject.org/pipermail/package-announce/2012-May/080712.html http://lists.fedoraproject.org/pipermail/package-announce/2012-May/081047.html https://access.redhat.com/security/cve/cve-2012-1161 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2012-116 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2012-1170
https://notcve.org/view.php?id=CVE-2012-1170
Moodle before 2.2.2 has an external enrolment plugin context check issue where capability checks are not thorough Moodle versiones anteriores a la versión 2.2.2, tiene un problema de comprobación de contexto del plugin external enrolment donde las comprobaciones de capacidad no son exhaustivas. • http://lists.fedoraproject.org/pipermail/package-announce/2012-April/077635.html http://lists.fedoraproject.org/pipermail/package-announce/2012-April/078209.html http://lists.fedoraproject.org/pipermail/package-announce/2012-April/078210.html http://lists.fedoraproject.org/pipermail/package-announce/2012-May/080712.html http://lists.fedoraproject.org/pipermail/package-announce/2012-May/081047.html https://access.redhat.com/security/cve/cve-2012-1170 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2012-117 • CWE-354: Improper Validation of Integrity Check Value •
CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2012-1169
https://notcve.org/view.php?id=CVE-2012-1169
Moodle before 2.2.2 has Personal information disclosure, when administrative setting users name display is set to first name only full names are shown in page breadcrumbs. Moodle versiones anteriores a la versión 2.2.2, tiene una divulgación de información personal, cuando la configuración administrativa de la visualización del nombre de los usuarios es establecida con el nombre solo se muestran los nombres completos en las rutas de navegación de la página. • http://lists.fedoraproject.org/pipermail/package-announce/2012-April/077635.html http://lists.fedoraproject.org/pipermail/package-announce/2012-April/078209.html http://lists.fedoraproject.org/pipermail/package-announce/2012-April/078210.html http://lists.fedoraproject.org/pipermail/package-announce/2012-May/080712.html http://lists.fedoraproject.org/pipermail/package-announce/2012-May/081047.html https://access.redhat.com/security/cve/cve-2012-1169 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2012-116 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.0EPSS: 0%CPEs: 4EXPL: 0CVE-2012-1160
https://notcve.org/view.php?id=CVE-2012-1160
Moodle before 2.2.2 has a permission issue in Forum Subscriptions where unenrolled users can subscribe/unsubscribe via mod/forum/index.php Moodle versiones anteriores a la versión 2.2.2, tiene un problema de permisos en las suscripciones de foros donde los usuarios no inscritos pueden suscribirse y eliminar la suscripción por medio de l archivo mod/forum/index.php. • http://lists.fedoraproject.org/pipermail/package-announce/2012-April/077635.html http://lists.fedoraproject.org/pipermail/package-announce/2012-April/078209.html http://lists.fedoraproject.org/pipermail/package-announce/2012-April/078210.html http://lists.fedoraproject.org/pipermail/package-announce/2012-May/080712.html http://lists.fedoraproject.org/pipermail/package-announce/2012-May/081047.html https://access.redhat.com/security/cve/cve-2012-1160 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2012-116 • CWE-732: Incorrect Permission Assignment for Critical Resource •