Moodle 4.1.x < 4.1.19 多個弱點

critical Web App Scanning Plugin ID 114890

概要

Moodle 4.1.x < 4.1.19 多個弱點

說明

根據其自我報告的版本遠端主機上主控的 Moodle 安裝是 4.1.x 之前的 4.1.19或 4.4.x 之前的 4.4.9或 4.5.x 之前的 4.5.5或 5.x 之前的 5.0.1。因此,該應用程式受到多個弱點影響:

- 需要進行更嚴格的功能檢查,以限制可擷取其他使用者最近存取課程資訊的使用者。

- 授權檢查不足可導致使用者可檢視他們沒有存取權限的 BigBlueButton 錄製內容。

- 背負式管理徽章中的「上移」和「下移」動作未包含防止 CSRF 風險所需的 token。

- 不充分的狀態和功能檢查導致隱藏課程的部分詳細資料 (例如課程名稱、描述和教師) 可供無權限存取的使用者使用。

- 處理 cURL 要求的方式中存在一個 DNS 重新系結風險會導致 SSRF 風險這是因為可能繞過 cURL 封鎖的主機/允許的連接埠之網站組態。

- 上游 ADOdb 程式庫的 pg_insert_id() 方法有一個 SQL 插入風險。請務必注意核心 Moodle LMS 不受此弱點影響不過作為預防措施此程式庫已經升級完全消除風險以防任何第三方程式碼/外掛程式使用有弱點的程式碼。

- 需要其他快取控制項才能防止網頁瀏覽器在登入頁面上快取使用者的密碼 (請注意若要存取此密碼必須存取使用者已登入之裝置上的網頁瀏覽器)。

請注意,掃描器程式並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新至 Moodle 4.1.19 或更新版本。

另請參閱

http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-79993

http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-83762

http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-84497

http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-84518

http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-84706

http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-85323

http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-85375

https://moodle.org/mod/forum/discuss.php?d=468501#p1880831

https://moodle.org/mod/forum/discuss.php?d=468502#p1880833

https://moodle.org/mod/forum/discuss.php?d=468503#p1880834

https://moodle.org/mod/forum/discuss.php?d=468504#p1880835

https://moodle.org/mod/forum/discuss.php?d=468505#p1880836

https://moodle.org/mod/forum/discuss.php?d=468506#p1880837

https://moodle.org/mod/forum/discuss.php?d=468507#p1880838

Plugin 詳細資訊

嚴重性: Critical

ID: 114890

類型: remote

已發布: 2025/6/24

已更新: 2025/6/24

掃描範本: basic, full, pci, scan

風險資訊

VPR

風險因素: High

分數: 7.3

CVSS v2

風險因素: High

基本分數: 9.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:P

CVSS 評分資料來源: CVE-2025-46337

CVSS v3

風險因素: Critical

基本分數: 10

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L

CVSS 評分資料來源: CVE-2025-46337

弱點資訊

CPE: cpe:2.3:a:fedoraproject:fedora:*:*:*:*:*:*:*:*

可輕鬆利用: No known exploits are available

弱點發布日期: 2025/4/30

參考資訊

CVE: CVE-2025-46337, CVE-2025-49513, CVE-2025-49514, CVE-2025-49515, CVE-2025-49516, CVE-2025-49517, CVE-2025-49518