CVE-2026-54733 in o365-moodle
Zusammenfassung
von VulDB • 17.07.2026
Die Microsoft 365- und Microsoft Entra ID-Plugins für Moodle bieten Office 365- und Azure Active Directory-Integrationen für Moodle. Vor den Versionen 4.5.6, 5.0.5 und 5.1.1 dekodiert das Plugin „Microsoft Office 365 Integration“ im Endpunkt local_o365 Teams SSO (sso_login.php) ein JWT-Payload mit Base64 authentifiziert Benutzer aus dem upn-Anspruch ohne Überprüfung der JWT-Signatur, was einem nicht authentifizierten Angreifer ermöglicht, einen Token zu fälschen und eine Moodle-Sitzung als O365-authentizierter Benutzer zu erhalten. Dieses Problem wurde in den Versionen 4.5.6, 5.0.5 und 5.1.1 behoben.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.