根據應用程式自我報告的版本號，遠端主機上安裝的 Moodle 是 3.9.20 之前版本，或是 3.11.13 之前的 3.11.x 版、4.0.7 之前的 4.0.x 版或  4.1.2 之前的 4.1.x 版。因此會受到多個弱點影響。

- 課程參與報告需要進行額外檢查，以防止顯示使用者無權檢視的角色。

- 成績報告歷史記錄篩選不充分，導致教師可存取他們原本無法存取的使用者名稱。

- Mustache pix 協助程式與使用者輸入結合使用時，可能會產生 Mustache 插入風險 (注意：這似乎不會在核心 Moodle LMS 的任何位置實作/被利用)。

- 如果代數篩選器已啟用但非作用中 (例如，伺服器遺漏必要的二進位檔)，則會產生 XSS 風險。

- 資料庫自動連結篩選器的內容輸出需要進行額外清理，才能防止 XSS 風險。

- 備份中不充分的清理會導致任意檔案讀取風險。根據預設，只有教師、管理者和系統管理員可以使用此功能。

- 設定檔欄位可用性條件驗證不足導致 SQL 插入攻擊風險 (根據預設只有教師和管理者可以使用)。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上安裝的 Moodle 版本比 4.1.3舊。因此，會受到在 TinyMCE 中建立的任意資料夾影響。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上主控的 Moodle 安裝版本為 3.9.21之前的 版、 3.11.x 之前的 3.11.14版、 4.0.x 之前的 4.0.8 版或 4.1.x4.1.3] 之前的 版。因此，在列出頁面時，Wiki 活動所使用之功能中的一個有限 SQL 插入會受到影響。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上主控的 Moodle 安裝版本為 3.11.x 之前的 3.11.15、 4.0.x 之前的 4.0.9、 4.1.x 之前的 4.1.4 或 4.2.x 之前的 4.2.1。因此，會受到群組頁面內容中的跨網站指令碼影響。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上主控的 Moodle 安裝版本為 3.9.22之前的 版、 3.11.x 之前的 3.11.15版、 4.0.x 之前的 4.0.9 版或 4.1.x4.1.4] 之前的 版。因此會受到多個弱點影響。

- 根據 cURL 封鎖主機清單檢查 0.0.0.0 時所使用的邏輯中的問題導致 SSRF 風險。

- 在 Mnet SSO 存取控制頁面上發現有限的 SQL 插入風險。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上主控的 Moodle 安裝為 3.9.23之前的 版、 3.11.x 之前的 3.11.16 版或 4.0.x4.0.10] 之前的 版。Moodle 隨附的 phpCAS 程式庫已升級至 1.6.0版，其中包含一個嚴重安全性問題的修正。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上主控的 Moodle 安裝是比 3.9.23 舊的 版，或是比 3.11.x 舊的 3.11.16版。Moodle 隨附的 JQuery UI 程式庫已升級至 1.13.2版，其中包含多個安全性問題的修正。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本遠端主機上主控的 Moodle 安裝是 之前的 3.9.23版、 3.11.x 之前的 3.11.16版、 4.0.x 之前的 4.0.10版、 4.1.x 之前的 4.1.5 版或 4.2.x 之前的 4.2.2版。因此會受到多個弱點影響。

- 不充分的限制導致學生在測驗嘗試期間繞過循序導覽。

- 功能檢查不足導致能力架構工具可供沒有相關功能的使用者使用。

- 管理員檢視所有原則頁面 URL 需要額外清理才能防止開放重新導向風險。

- 功能檢查不足導致攻擊者可擷取其他使用者的訊息處理器偏好設定資料。

- 使用者透過 OAuth 2 登入的位置可將已儲存的 self-XSS 升級為已儲存的 XSS。

- 系統儀表板中個別區塊的權限覆寫並未級聯至使用者儀表板。

- 在剖析檔案存放庫參照內容時發現一個遠端程式碼執行風險。

- 不正確的網域比對邏輯可能導致繞過 Proxy進而導致存取預定由 Proxy 封鎖的主機。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據應用程式自我報告的版本號，遠端主機上安裝的 Moodle 是 3.9.24 之前版本，或是 3.11.17 之前的 3.11.x 版、4.0.11 之前的 4.0.x 版、4.1.6 之前的 4.1.x 版或 4.2.3 之前的 4.2.x 版。因此，會受到多個弱點影響:

- 處於「個別群組」模式時，論壇摘要報告會顯示其他群組的學生

- 在某些設定錯誤的共用主控環境中，因 LFI 風險而產生 RCE 弱點

- 更新課程類別的父項時功能檢查不充分

- 使檔案服務端點修訂版控制更嚴格

- 在課程上傳工具中預覽資料時會產生 XSS 風險

- 自動填入的 H5P 作者名稱可能會造成資訊洩漏

- Wiki 註解中包含儲存型 XSS 和潛在的 IDOR 風險

- 學生可在「僅查看自己的成員資格」群組中查看其他學生

- 使用 CSV 等級匯入方法時會產生 XSS 風險

- IMSCP 中經驗證的遠端程式碼執行弱點

- Lesson 中經驗證的遠端程式碼執行弱點

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上主控的 Moodle 安裝版本為 4.2.x 之前的 4.2.4 或 4.3.x 之前的 4.3.1。因此受到多個跨網站指令碼影響：

- ad-hoc 工作頁面上有反映式 XSS 風險

- 評分者報告搜尋中有反映式 XSS 風險

- 透過使用者 ID 號碼在評分者報告中儲存 XSS

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上主控的 Moodle 安裝版本為 之前的 3.9.25 / 3.11.x 之前的 3.11.18 / 4.0.x 之前的 4.0.12 / 4.1.x 之前的 4.1.7 / 4.2.x 之前的 4.2.4。因此，會受到多個弱點影響:

- 在管理 UI 中手動執行工作時的 XSS 風險

- 所有使用者皆可使用徽章收件者

- 調查回應並未遵循群組設定

- 記錄和即時記錄課程報告並未遵循活動群組設定

- 課程區塊中有經驗證的遠端程式碼執行風險

- URL 下載程式中的 DOS 風險

- logstore 中作為管理員的經驗證遠端程式碼執行風險

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據應用程式自我報告的版本號，遠端主機上安裝的 Moodle 是 4.1.10 之前版本，或是 4.2.7 之前的 4.2.x 版、4.3.3 之前的 4.3.x 版。因此會受到多個弱點影響。

- 分析模型的管理員管理動作未包含防止 CSRF 風險所需的權杖。

- 網站記錄報告需要對事件描述進行其他編碼，以確保內容中的所有 HTML 都以純文字顯示，而非轉譯。

- 在錯誤設定為允許存取其他使用者內容的共用主控環境中，具有還原資料庫活動模組存取權和 Moodle webroot 之外 Web 伺服器直接存取權的 Moodle 使用者可執行本機檔案包含攻擊。

- 在錯誤設定為允許存取其他使用者內容的共用主控環境中，具有還原 wiki 模組存取權和 Moodle webroot 之外 Web 伺服器直接存取權的 Moodle 使用者可執行本機檔案包含攻擊。

- 在錯誤設定為允許存取其他使用者內容的共用主控環境中，具有還原工作坊模組存取權和 Moodle webroot 之外 Web 伺服器直接存取權的 Moodle 使用者可執行本機檔案包含攻擊。

- 在錯誤設定為允許存取其他使用者內容的共用主控環境中，具有還原回饋模組存取權和 Moodle webroot 之外 Web 伺服器直接存取權的 Moodle 使用者可執行本機檔案包含攻擊。

- 管理員預設工具中的動作未包含防止 CSRF 風險所需的權杖。

- 課程概覽報告中顯示的 ID 號碼需要進行額外清理，才能防止儲存型 XSS 風險。

- 參與者頁面表格中的參與者名稱逸出不足，導致在與某些功能互動時會產生儲存型 XSS 風險。

- 開啟等式編輯器時需要進行其他清理，以防止在編輯其他使用者的等式時產生儲存型 XSS 風險。

- 未正確驗證行事歷 Web 服務中允許的事件類型，導致部分使用者能夠建立他們沒有發布權限的事件類型/目標對象。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本遠端主機上主控的 Moodle 安裝版本是 4.3.x4.3.4] 之前的 版。因此會受到多個弱點影響。

- 如果檢查不足 ReCAPTCHA 是否已啟用可能會導致攻擊者繞過登入頁面的檢查。這不會影響使用 ReCAPTCHA 的其他頁面。

- MFA 中的登出選項未包含避免使用者透過 CSRF 意外登出之風險所需的 token。

- MFA 使用的查閱者 URL 需要額外清理而非直接使用。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據應用程式自我報告的版本號，遠端主機上安裝的 Moodle 是 4.1.11 之前版本，或是 4.2.8 之前的 4.2.x 版、4.3.5 之前的 4.3.x 版或  4.4.1 之前的 4.4.x 版。因此會受到多個弱點影響。

- 使用者的 QR 登入金鑰及其自動登入金鑰都應產生唯一的金鑰，如此就無法在兩者之間互換使用相同的金鑰。

- 不正確的 CSRF 權杖檢查導致多個 CSRF 風險。

- Moodle 中的 cURL 包裝函式在遵循重新導向時會保留原始要求標頭，因此 HTTP 授權標頭資訊可能會在重新導向 URL 的要求中意外傳送。

- 行事歷事件標題逸出不足會導致事件刪除提示中產生儲存型 XSS 風險。

- 功能檢查不足表示使用者可能取得他們沒有存取權限的 BigBlueButton 加入 URL 的存取權。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上主控的 Moodle 安裝版本為 4.1.x 之前的 4.1.15、 4.3.x 之前的 4.3.9或 4.4.x 之前的 4.4.5。因此會受到多個弱點影響。

- 因來賓工作階段較長的逾時期間而導致的一個潛在拒絕服務風險。

- 獨立群組模式下的資料庫活動問題，適用於非群組中的使用者。

- 可透過偏好設定取得的電子郵件變更確認 token。

- 標籤索引頁面會顯示使用所選標籤標記的其他使用者。

- 透過學習計劃 Web 服務未受保護存取敏感資訊。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上主控的 Moodle 安裝版本為 4.4.x4.4.2] 之前的 版。因此，它會受到多個弱點影響：

- Matrix 使用者/電源層級管理對於暫停的使用者而言，並非一律如預期運作。

- 使用 Quiz 覆寫的外部方法時缺少存取控制。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上主控的 Moodle 安裝版本為 4.1.x 之前的 4.1.12、 4.2.x 之前的 4.2.9、 4.3.x 之前的 4.3.6或 4.4.x 之前的 4.4.2。因此會受到多個弱點影響。

- 還原格式錯誤的區塊備份時出現一個 LFI 弱點。

- 透過 H5P 的反射式 XSS 錯誤訊息。

- 回饋無回應者報告中的 IDOR 允許傳訊任意網站使用者。

- 還原惡意課程備份檔案時有一個 XSS 風險。

- 透過 XMLDB 編輯器的網站管理 SQL 插入。

- 無需管理員身分即可建立全域詞彙表。

- 回饋無回應者報告中的 CSRF 風險。

- 保留「模擬重新導向」之間的授權標頭。

- 徽章中的 IDOR 允許刪除任意徽章。

- 成績簿報告中的使用者資訊可見度控制問題。

- 透過插入儲存中的快取毒害。

- 管理員預設匯出工具包含一些不應匯出的密碼。

- 透過 pdfTeX 的任意檔案讀取風險。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名稱	嚴重性
114767	Moodle < 3.9.20 多個弱點	critical
114766	Moodle 3.11.x < 3.11.13 多個弱點	critical
114765	Moodle 4.0.x < 4.0.7 多個弱點	critical
114764	Moodle 4.1.x < 4.1.2 多個弱點	critical
114763	Moodle 4.1.x < 4.1.3 任意資料夾建立	medium
114762	Moodle < 3.9.21 SQL 插入	high
114761	Moodle 3.11.x < 3.11.14 SQL 插入	high
114760	Moodle 4.0.x < 4.0.8 SQL 插入	high
114759	Moodle 4.1.x < 4.1.3 SQL 插入	high
114758	Moodle 3.11.x < 3.11.15 群組頁面上的 XSS 風險	medium
114757	Moodle 4.0.x < 4.0.9 群組頁面上的 XSS 風險	medium
114756	Moodle 4.1.x < 4.1.4 群組頁面上的 XSS 風險	medium
114755	Moodle 4.2.x < 4.2.1 群組頁面上的 XSS 風險	medium
114754	Moodle < 3.9.22 多個弱點	high
114753	Moodle 3.11.x < 3.11.15 多個弱點	high
114752	Moodle 4.0.x < 4.0.9 多個弱點	high
114751	Moodle 4.1.x < 4.1.4 多個弱點	high
114750	Moodle < 3.9.23 phpCAS 程式庫升級	high
114749	Moodle 3.11.x < 3.11.16 phpCAS 程式庫升級	high
114748	Moodle 4.0.x < 4.0.10 phpCAS 程式庫升級	high
114747	Moodle < 3.9.23 JQuery UI 程式庫升級	medium
114746	Moodle 3.11.x < 3.11.16 JQuery UI 程式庫升級	medium
114745	Moodle < 3.9.23 多個弱點	critical
114744	Moodle 3.11.x < 3.11.16 多個弱點	critical
114743	Moodle 4.0.x < 4.0.10 多個弱點	critical
114742	Moodle 4.1.x < 4.1.5 多個弱點	critical
114741	Moodle 4.2.x < 4.2.2 多個弱點	critical
114740	Moodle 4.2.x < 4.2.3 多個弱點	critical
114739	Moodle 4.1.x < 4.1.6 多個弱點	critical
114738	Moodle 4.0.x < 4.0.11 多個弱點	critical
114737	Moodle 3.11.x < 3.11.17 多個弱點	critical
114736	Moodle < 3.9.24 多個弱點	critical
114735	Moodle 4.3.x < 4.3.1 多個跨網站指令碼	medium
114734	Moodle 4.2.x < 4.2.4 多個跨網站指令碼	medium
114733	Moodle 4.2.x < 4.2.4 多個弱點	high
114732	Moodle 4.1.x < 4.1.7 多個弱點	high
114731	Moodle 4.0.x < 4.0.12 多個弱點	high
114730	Moodle 3.11.x < 3.11.18 多個弱點	high
114729	Moodle < 3.9.25 多個弱點	high
114728	Moodle 4.3.x < 4.3.3 多個弱點	high
114727	Moodle 4.2.x < 4.2.7 多個弱點	high
114726	Moodle < 4.1.10 多個弱點	high
114725	Moodle 4.3.x < 4.3.4 多個弱點	high
114724	Moodle 4.4.x < 4.4.1 多個弱點	medium
114723	Moodle 4.3.x < 4.3.5 多個弱點	medium
114722	Moodle 4.2.x < 4.2.8 多個弱點	medium
114721	Moodle 4.4.x < 4.4.5 多個弱點	high
114720	Moodle 4.4.x < 4.4.2 多個弱點	medium
114719	Moodle < 4.1.12 多個弱點	critical
114718	Moodle 4.2.x < 4.2.9 多個弱點	critical

偵測

Web App Scanning 的 Component Vulnerability 系列

critical

critical

critical

critical

medium

high

high

high

high

medium

medium

medium

medium

high

high

high

high

high

high

high

medium

medium

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

medium

medium

high

high

high

high

high

high

high

high

high

medium

medium

medium

high

medium

critical

critical