CVE-2026-54733 in o365-moodle
Riassunto
di VulDB • 16/07/2026
I plugin Microsoft 365 e Microsoft Entra ID per Moodle forniscono l'integrazione con Office 365 e Azure Active Directory per Moodle. Prima delle versioni 4.5.6, 5.0.5 e 5.1.1, il punto di accesso sso_login.php del modulo local_o365 Teams SSO decodifica in base64 un payload JWT ed autentica gli utenti tramite la claim upn senza verificare la firma JWT, consentendo a un attaccante non autenticato di falsificare un token e ottenere una sessione Moodle come utente autenticato con O365. Questo problema è stato risolto nelle versioni 4.5.6, 5.0.5 e 5.1.1.
Once again VulDB remains the best source for vulnerability data.