根據應用程式自我報告的版本號，遠端主機上安裝的 Moodle 是 3.9.24 之前版本，或是 3.11.17 之前的 3.11.x 版、4.0.11 之前的 4.0.x 版、4.1.6 之前的 4.1.x 版或 4.2.3 之前的 4.2.x 版。因此，會受到多個弱點影響:

- 處於「個別群組」模式時，論壇摘要報告會顯示其他群組的學生

- 在某些設定錯誤的共用主控環境中，因 LFI 風險而產生 RCE 弱點

- 更新課程類別的父項時功能檢查不充分

- 使檔案服務端點修訂版控制更嚴格

- 在課程上傳工具中預覽資料時會產生 XSS 風險

- 自動填入的 H5P 作者名稱可能會造成資訊洩漏

- Wiki 註解中包含儲存型 XSS 和潛在的 IDOR 風險

- 學生可在「僅查看自己的成員資格」群組中查看其他學生

- 使用 CSV 等級匯入方法時會產生 XSS 風險

- IMSCP 中經驗證的遠端程式碼執行弱點

- Lesson 中經驗證的遠端程式碼執行弱點

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上主控的 Moodle 安裝版本為 4.2.x 之前的 4.2.4 或 4.3.x 之前的 4.3.1。因此受到多個跨網站指令碼影響：

- ad-hoc 工作頁面上有反映式 XSS 風險

- 評分者報告搜尋中有反映式 XSS 風險

- 透過使用者 ID 號碼在評分者報告中儲存 XSS

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上主控的 Moodle 安裝版本為 之前的 3.9.25 / 3.11.x 之前的 3.11.18 / 4.0.x 之前的 4.0.12 / 4.1.x 之前的 4.1.7 / 4.2.x 之前的 4.2.4。因此，會受到多個弱點影響:

- 在管理 UI 中手動執行工作時的 XSS 風險

- 所有使用者皆可使用徽章收件者

- 調查回應並未遵循群組設定

- 記錄和即時記錄課程報告並未遵循活動群組設定

- 課程區塊中有經驗證的遠端程式碼執行風險

- URL 下載程式中的 DOS 風險

- logstore 中作為管理員的經驗證遠端程式碼執行風險

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據應用程式自我報告的版本號，遠端主機上安裝的 Moodle 是 4.1.10 之前版本，或是 4.2.7 之前的 4.2.x 版、4.3.3 之前的 4.3.x 版。因此會受到多個弱點影響。

- 分析模型的管理員管理動作未包含防止 CSRF 風險所需的權杖。

- 網站記錄報告需要對事件描述進行其他編碼，以確保內容中的所有 HTML 都以純文字顯示，而非轉譯。

- 在錯誤設定為允許存取其他使用者內容的共用主控環境中，具有還原資料庫活動模組存取權和 Moodle webroot 之外 Web 伺服器直接存取權的 Moodle 使用者可執行本機檔案包含攻擊。

- 在錯誤設定為允許存取其他使用者內容的共用主控環境中，具有還原 wiki 模組存取權和 Moodle webroot 之外 Web 伺服器直接存取權的 Moodle 使用者可執行本機檔案包含攻擊。

- 在錯誤設定為允許存取其他使用者內容的共用主控環境中，具有還原工作坊模組存取權和 Moodle webroot 之外 Web 伺服器直接存取權的 Moodle 使用者可執行本機檔案包含攻擊。

- 在錯誤設定為允許存取其他使用者內容的共用主控環境中，具有還原回饋模組存取權和 Moodle webroot 之外 Web 伺服器直接存取權的 Moodle 使用者可執行本機檔案包含攻擊。

- 管理員預設工具中的動作未包含防止 CSRF 風險所需的權杖。

- 課程概覽報告中顯示的 ID 號碼需要進行額外清理，才能防止儲存型 XSS 風險。

- 參與者頁面表格中的參與者名稱逸出不足，導致在與某些功能互動時會產生儲存型 XSS 風險。

- 開啟等式編輯器時需要進行其他清理，以防止在編輯其他使用者的等式時產生儲存型 XSS 風險。

- 未正確驗證行事歷 Web 服務中允許的事件類型，導致部分使用者能夠建立他們沒有發布權限的事件類型/目標對象。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本遠端主機上主控的 Moodle 安裝版本是 4.3.x4.3.4] 之前的 版。因此會受到多個弱點影響。

- 如果檢查不足 ReCAPTCHA 是否已啟用可能會導致攻擊者繞過登入頁面的檢查。這不會影響使用 ReCAPTCHA 的其他頁面。

- MFA 中的登出選項未包含避免使用者透過 CSRF 意外登出之風險所需的 token。

- MFA 使用的查閱者 URL 需要額外清理而非直接使用。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據應用程式自我報告的版本號，遠端主機上安裝的 Moodle 是 4.1.11 之前版本，或是 4.2.8 之前的 4.2.x 版、4.3.5 之前的 4.3.x 版或  4.4.1 之前的 4.4.x 版。因此會受到多個弱點影響。

- 使用者的 QR 登入金鑰及其自動登入金鑰都應產生唯一的金鑰，如此就無法在兩者之間互換使用相同的金鑰。

- 不正確的 CSRF 權杖檢查導致多個 CSRF 風險。

- Moodle 中的 cURL 包裝函式在遵循重新導向時會保留原始要求標頭，因此 HTTP 授權標頭資訊可能會在重新導向 URL 的要求中意外傳送。

- 行事歷事件標題逸出不足會導致事件刪除提示中產生儲存型 XSS 風險。

- 功能檢查不足表示使用者可能取得他們沒有存取權限的 BigBlueButton 加入 URL 的存取權。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上主控的 Moodle 安裝版本為 4.1.x 之前的 4.1.15、 4.3.x 之前的 4.3.9或 4.4.x 之前的 4.4.5。因此會受到多個弱點影響。

- 因來賓工作階段較長的逾時期間而導致的一個潛在拒絕服務風險。

- 獨立群組模式下的資料庫活動問題，適用於非群組中的使用者。

- 可透過偏好設定取得的電子郵件變更確認 token。

- 標籤索引頁面會顯示使用所選標籤標記的其他使用者。

- 透過學習計劃 Web 服務未受保護存取敏感資訊。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上主控的 Moodle 安裝版本為 4.4.x4.4.2] 之前的 版。因此，它會受到多個弱點影響：

- Matrix 使用者/電源層級管理對於暫停的使用者而言，並非一律如預期運作。

- 使用 Quiz 覆寫的外部方法時缺少存取控制。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上主控的 Moodle 安裝版本為 4.1.x 之前的 4.1.12、 4.2.x 之前的 4.2.9、 4.3.x 之前的 4.3.6或 4.4.x 之前的 4.4.2。因此會受到多個弱點影響。

- 還原格式錯誤的區塊備份時出現一個 LFI 弱點。

- 透過 H5P 的反射式 XSS 錯誤訊息。

- 回饋無回應者報告中的 IDOR 允許傳訊任意網站使用者。

- 還原惡意課程備份檔案時有一個 XSS 風險。

- 透過 XMLDB 編輯器的網站管理 SQL 插入。

- 無需管理員身分即可建立全域詞彙表。

- 回饋無回應者報告中的 CSRF 風險。

- 保留「模擬重新導向」之間的授權標頭。

- 徽章中的 IDOR 允許刪除任意徽章。

- 成績簿報告中的使用者資訊可見度控制問題。

- 透過插入儲存中的快取毒害。

- 管理員預設匯出工具包含一些不應匯出的密碼。

- 透過 pdfTeX 的任意檔案讀取風險。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本遠端主機上主控的 Moodle 安裝是 4.1.x 之前的 4.1.13、 4.2.x 之前的 4.2.10、 4.3.x 之前的 4.3.7或 4.4.x 之前的 4.4.3。因此會受到多個弱點影響。

- 透過 PHP 寬鬆比較的課程活動密碼繞過。

- 刪除 OAuth2 連結帳戶時出現一個 IDOR。

- 透過動態表格未經保護地存取敏感資訊。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上主控的 Moodle 安裝版本為 4.4.x4.4.4] 之前的 版。因此會受到多個不安全的直接物件參照影響。

- 存取徽章收件者清單時的 IDOR。

- 存取課程徽章清單時的 IDOR。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上主控的 Moodle 安裝版本為 4.1.x 之前的 4.1.14、 4.2.x 之前的 4.2.11、 4.3.x 之前的 4.3.8或 4.4.x 之前的 4.4.4。因此會受到多個弱點影響。

- 擷取報告排程時的 IDOR。

- 部分使用者可刪除其他報告的存取者。

- 編輯/刪除 RSS 摘要中有一個 IDOR。

- 傳回錯誤訊息中的使用者名稱。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上主控的 Moodle 安裝為 4.3.x 之前的 4.3.8 或 4.4.4 之前的 4.4.5 或 4.5.x 之前的 4.5.1 。因此，會受到問題庫篩選器中一個反映式 XSS 的影響。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上主控的 Moodle 安裝版本為 4.1.17 之前的 版或 4.3.x 之前的 4.3.11 版或 4.4.x 之前的 4.4.7 版或 4.5.x4.5.3] 之前的 版。因此，會受到透過 REST API 洩漏的資料影響。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據應用程式自我報告的版本號，遠端主機上安裝的 Moodle 是 4.1.16 之前版本，或是 4.3.10 之前的 4.3.x 版、4.4.6 之前的 4.4.x 版或 4.5.2 之前的 4.5.x 版。因此會受到多個弱點影響。

- 在課程搜尋的模組清單篩選器中發現 SQL 插入攻擊風險。

- 為確保在還原詞彙表項目時正確套用 trusttext (如啟用)，需新增額外檢查。

- 由於功能檢查不足，使用者可停用其無權存取的徽章。

- 上游 RequireJS 程式庫已升級，其中包含一項安全性修正。

- 問題庫篩選器需要額外清理，藉此杜絕反射式 XSS 攻擊風險。

- 網站管理即時記錄中顯示的描述資訊需要額外清理，藉此杜絕儲存型 XSS 攻擊風險。

- 拖放至影像 (ddimageortext) 題型需要額外清理，藉此杜絕儲存型 XSS 攻擊風險。

- 使用者仍可透過標籤搜尋頁面或標籤區塊，發現不應顯示的標籤。

- 在意見回饋活動中允許檢視或刪除回應前，系統並未將「分組模式」的存取限制納入權限檢查。

- TeX 標記法篩選器中的清理不充分，導致提供 pdfTeX 的網站 (例如安裝 TeX Live 的網站) 存在任意檔案讀取風險。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上主控的 Moodle 安裝版本為 4.1.17 之前的 版或 4.3.x 之前的 4.3.11 版或 4.4.x 之前的 4.4.7 版或 4.5.x4.5.3] 之前的 版。因此，會受到某些成績報告中不充分的功能檢查影響，導致某些隱藏成績可供無權限檢視的使用者使用。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Ingress NGINX Controller for Kubernetes 1.11.5之前的版本，以及 1.12.1 之前的 1.12.x 版受到一個重大遠端程式碼執行弱點影響。成功惡意利用此弱點可讓具有 pod 網路存取權限並且未經驗證的攻擊者在控制器的內容中達到遠端程式碼執行 (RCE)，進而可能導致洩漏所有叢集範圍的密碼並接管叢集。

請注意，此 plugin 需要掃描組態中啟用「檔案上傳」評估選項。

Apache Tomcat 的 Default Servlet 中有一個路徑對等弱點，影響 11.0.0-M1 至 11.0.2 版、10.1.0-M1 至 10.1.34版，以及 9.0.0.M1 至 9.0.98 版。在需要啟用寫入和部分 PUT 支援的特定非預設設定下，攻擊者可造成遠端程式碼執行、資訊洩漏或將惡意內容插入上傳的檔案。

請注意，此 plugin 需要掃描組態中啟用「檔案上傳」評估選項。

Ivanti Endpoint Manager (EPM) 在 2024 - 2025 年 1 月安全性更新，以及 2022 SU6 - 2025 年 1 月安全性更新之前的版本中存在絕對路徑遊走弱點，進而允許未驗證的遠端攻擊者洩漏敏感資訊。

ID	名稱	嚴重性
114738	Moodle 4.0.x < 4.0.11 多個弱點	critical
114737	Moodle 3.11.x < 3.11.17 多個弱點	critical
114736	Moodle < 3.9.24 多個弱點	critical
114735	Moodle 4.3.x < 4.3.1 多個跨網站指令碼	medium
114734	Moodle 4.2.x < 4.2.4 多個跨網站指令碼	medium
114733	Moodle 4.2.x < 4.2.4 多個弱點	high
114732	Moodle 4.1.x < 4.1.7 多個弱點	high
114731	Moodle 4.0.x < 4.0.12 多個弱點	high
114730	Moodle 3.11.x < 3.11.18 多個弱點	high
114729	Moodle < 3.9.25 多個弱點	high
114728	Moodle 4.3.x < 4.3.3 多個弱點	high
114727	Moodle 4.2.x < 4.2.7 多個弱點	high
114726	Moodle < 4.1.10 多個弱點	high
114725	Moodle 4.3.x < 4.3.4 多個弱點	high
114724	Moodle 4.4.x < 4.4.1 多個弱點	medium
114723	Moodle 4.3.x < 4.3.5 多個弱點	medium
114722	Moodle 4.2.x < 4.2.8 多個弱點	medium
114721	Moodle 4.4.x < 4.4.5 多個弱點	high
114720	Moodle 4.4.x < 4.4.2 多個弱點	medium
114719	Moodle < 4.1.12 多個弱點	high
114718	Moodle 4.2.x < 4.2.9 多個弱點	high
114717	Moodle 4.3.x < 4.3.6 多個弱點	high
114716	Moodle 4.4.x < 4.4.2 多個弱點	high
114715	Moodle 4.1.x < 4.1.13 多個弱點	medium
114714	Moodle 4.2.x < 4.2.10 多個弱點	medium
114713	Moodle 4.3.x < 4.3.7 多個弱點	medium
114712	Moodle 4.4.x < 4.4.3 多個弱點	medium
114711	Moodle 4.4.x < 4.4.4 多個不安全的直接物件參照	medium
114710	Moodle < 4.1.14 多個弱點	medium
114709	Moodle 4.2.x < 4.2.11 多個弱點	medium
114708	Moodle 4.3.x < 4.3.8 多個弱點	medium
114707	Moodle 4.4.x < 4.4.4 多個弱點	medium
114706	Moodle 4.5.x < 4.5.1 問題庫篩選器中的反映式 XSS	medium
114705	Moodle 4.4.4 < 4.4.5 問題庫篩選器中的反映式 XSS	medium
114704	Moodle 4.3.x < 4.3.8 問題庫篩選器中的反映式 XSS	medium
114703	Moodle < 4.1.15 多個弱點	high
114702	Moodle 4.3.x < 4.3.9 多個弱點	high
114701	Moodle 4.5.x < 4.5.3 未經驗證的 REST API 資料洩漏	high
114700	Moodle 4.1.x < 4.1.16 多個弱點	critical
114699	Moodle 4.3.x < 4.3.10 多個弱點	critical
114698	Moodle 4.4.x < 4.4.6 多個弱點	critical
114697	Moodle 4.5.x < 4.5.2 多個弱點	critical
114696	Moodle 4.1.x < 4.1.17 在無權限的情況下顯示隱藏成績	medium
114695	Moodle 4.3.x < 4.3.11 在無權限的情況下顯示隱藏成績	medium
114694	Moodle 4.4.x < 4.4.7 在無權限的情況下顯示隱藏成績	medium
114693	Moodle 4.5.x < 4.5.3 在無權限的情況下顯示隱藏成績	medium
114692	Moodle 4.1.x < 4.1.11 多個弱點	medium
114691	Kubernetes Ingress NGINX 控制器任意程式碼執行	critical
114690	Apache Tomcat Path Equivalence 遠端程式碼執行	critical
114689	Ivanti EPM 憑證強制轉換	high

偵測

Web App Scanning 的 Component Vulnerability 系列

critical

critical

critical

medium

medium

high

high

high

high

high

high

high

high

high

medium

medium

medium

high

medium

high

high

high

high

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

high

high

high

critical

critical

critical

critical

medium

medium

medium

medium

medium

critical

critical

high