CVE-2024-34008 – moodle: CSRF risk in analytics management of models
https://notcve.org/view.php?id=CVE-2024-34008
Actions in the admin management of analytics models did not include the necessary token to prevent a CSRF risk. Las acciones en la gestión administrativa de los modelos de análisis no incluyeron el token necesario para prevenir un riesgo CSRF. • https://moodle.org/mod/forum/discuss.php?d=458397 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2024-33996 – moodle: broken access control when setting calendar event type
https://notcve.org/view.php?id=CVE-2024-33996
Incorrect validation of allowed event types in a calendar web service made it possible for some users to create events with types/audiences they did not have permission to publish to. La validación incorrecta de los tipos de eventos permitidos en un servicio web de calendario hizo posible que algunos usuarios crearan eventos con tipos/audiencias para los que no tenían permiso para publicar. • https://moodle.org/mod/forum/discuss.php?d=458384#p1840909 • CWE-20: Improper Input Validation •
CVE-2023-5543 – Moodle: duplicating a bigbluebutton activity assigns the same meeting id
https://notcve.org/view.php?id=CVE-2023-5543
When duplicating a BigBlueButton activity, the original meeting ID was also duplicated instead of using a new ID for the new activity. This could provide unintended access to the original meeting. Al duplicar una actividad de BigBlueButton, el ID de la reunión original también se duplicó en lugar de utilizar un nuevo ID para la nueva actividad. Esto podría proporcionar un acceso no deseado a la reunión original. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-77795 https://bugzilla.redhat.com/show_bug.cgi?id=2243442 https://moodle.org/mod/forum/discuss.php?d=451584 • CWE-284: Improper Access Control •
CVE-2023-5551 – Moodle: forum summary report shows students from other groups when in separate groups mode
https://notcve.org/view.php?id=CVE-2023-5551
Separate Groups mode restrictions were not honoured in the forum summary report, which would display users from other groups. Las restricciones del modo de grupos separados no se respetaron en el informe de resumen del foro, que mostraría usuarios de otros grupos. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-79310 https://bugzilla.redhat.com/show_bug.cgi?id=2243453 https://moodle.org/mod/forum/discuss.php?d=451592 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2023-5550 – Moodle: rce due to lfi risk in some misconfigured shared hosting environments
https://notcve.org/view.php?id=CVE-2023-5550
In a shared hosting environment that has been misconfigured to allow access to other users' content, a Moodle user who also has direct access to the web server outside of the Moodle webroot could utilise a local file include to achieve remote code execution. En un entorno de alojamiento compartido que ha sido mal configurado para permitir el acceso al contenido de otros usuarios, un usuario de Moodle que también tiene acceso directo al servidor web fuera del root web de Moodle podría utilizar un archivo local incluido para lograr la ejecución remota de código. • http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-72249 https://bugzilla.redhat.com/show_bug.cgi?id=2243452 https://moodle.org/mod/forum/discuss.php?d=451591 • CWE-94: Improper Control of Generation of Code ('Code Injection') •