Fedora 20：moodle-2.5.3-1.fc20 (2013-21312)

medium Nessus Plugin ID 71063

語系：

概要

遠端 Fedora 主機遺漏安全性更新。

說明

最新上游，多個安全性修正。

名稱：CVE-2013-6780 URL：
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6780 已指派：
20131112 參照：
https://yuilibrary.com/support/20131111-vulnerability/

在 2.5.0 至 2.9.0 版 Yahoo! YUI 的 Uploader 元件中，uploader.swf 存有一個跨網站指令碼 (XSS) 弱點，其允許遠端攻擊者透過 allowedDomain 參數插入任意 web 指令碼或 HTML。

名稱：CVE-2013-3630 URL：
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3630 [Open'>http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3630'>Open URL] 已指派：20130521 參照：
https://community.rapid7.com/community/metasploit/blog/2013/10/30/seven-foss-disclosures-part-one [Open'>https://community.rapid7.com/community/metasploit/blog/2013/10/ 30/seven-foss-disclosures-part-one'>Open URL] 參照：
https://community.rapid7.com/community/metasploit/blog/2013/10/30/seven-tricks-and-treats [Open'>https://community.rapid7.com/community/metasploit/blog/2013/10/30/seven-tricks-and-treats'>Open URL]

2.5.2 版以前的 Moodle 允許經過驗證的遠端系統管理員設定 aspell 路徑名稱，然後在 TinyMCE 編輯器中觸發拼字檢查作業，藉此執行任意程式。

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。