Moodle 4.1.x < 4.1.5 多個弱點

critical Web App Scanning Plugin ID 114742

概要

Moodle 4.1.x < 4.1.5 多個弱點

說明

根據其自我報告的版本遠端主機上主控的 Moodle 安裝是 之前的 3.9.23版、 3.11.x 之前的 3.11.16版、 4.0.x 之前的 4.0.10版、 4.1.x 之前的 4.1.5 版或 4.2.x 之前的 4.2.2版。因此會受到多個弱點影響。

- 不充分的限制導致學生在測驗嘗試期間繞過循序導覽。

- 功能檢查不足導致能力架構工具可供沒有相關功能的使用者使用。

- 管理員檢視所有原則頁面 URL 需要額外清理才能防止開放重新導向風險。

- 功能檢查不足導致攻擊者可擷取其他使用者的訊息處理器偏好設定資料。

- 使用者透過 OAuth 2 登入的位置可將已儲存的 self-XSS 升級為已儲存的 XSS。

- 系統儀表板中個別區塊的權限覆寫並未級聯至使用者儀表板。

- 在剖析檔案存放庫參照內容時發現一個遠端程式碼執行風險。

- 不正確的網域比對邏輯可能導致繞過 Proxy進而導致存取預定由 Proxy 封鎖的主機。

請注意,掃描器程式並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Moodle 4.1.5 或更新版本。

另請參閱

http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-66212

http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-71728

http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-74289

http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-78340

http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-78647

http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-78685

http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-78763

http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-78792

https://moodle.org/mod/forum/discuss.php?d=449640#p1807042

https://moodle.org/mod/forum/discuss.php?d=449641#p1807043

https://moodle.org/mod/forum/discuss.php?d=449642#p1807044

https://moodle.org/mod/forum/discuss.php?d=449644#p1807048

https://moodle.org/mod/forum/discuss.php?d=449647#p1807051

https://moodle.org/mod/forum/discuss.php?d=449649#p1807054

https://moodle.org/mod/forum/discuss.php?d=449650#p1807055

https://moodle.org/mod/forum/discuss.php?d=449651#p1807056

Plugin 詳細資訊

嚴重性: Critical

ID: 114742

類型: remote

已發布: 2025/4/10

已更新: 2025/4/10

掃描範本: basic, full, pci, scan

風險資訊

VPR

風險因素: High

分數: 7.4

CVSS v2

風險因素: High

基本分數: 7.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2023-40316

CVSS v3

風險因素: Critical

基本分數: 9.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS 評分資料來源: CVE-2023-40316

弱點資訊

CPE: cpe:2.3:a:canonical:ubuntu_linux:*:*:*:*:*:*:*:*

可輕鬆利用: No known exploits are available

弱點發布日期: 2023/8/28

參考資訊

CVE: CVE-2023-40316, CVE-2023-40317, CVE-2023-40318, CVE-2023-40320, CVE-2023-40322, CVE-2023-40323, CVE-2023-40324, CVE-2023-40325