Moodle até 2.5.9/2.6.6/2.7.3/2.8.1 Course Summary course/pending.php Script de Site Cruzado

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
3.4	$0-$5k	0.00

Sumárioinformação

Uma vulnerabilidade classificada como problemático foi encontrada em Moodle até 2.5.9/2.6.6/2.7.3/2.8.1. Afetado é uma função desconhecida do arquivo course/pending.php do componente Course Summary Handler. A manipulação resulta em Script de Site Cruzado. Esta vulnerabilidade é conhecida como CVE-2015-0212. O ataque pode ser realizado remotamente. Não existe exploit disponível. É recomendado que o componente afetado seja atualizado.

Detalhesinformação

Uma vulnerabilidade classificada como problemático foi encontrada em Moodle até 2.5.9/2.6.6/2.7.3/2.8.1. Afetado é uma função desconhecida do arquivo course/pending.php do componente Course Summary Handler. A manipulação resulta em Script de Site Cruzado. A definição de CWE para a vulnerabilidade é CWE-79. Esta vulnerabilidade foi publicada 01/06/2015 (Site). O comunicado está disponível para download em moodle.org.

Esta vulnerabilidade é conhecida como CVE-2015-0212. A atribuição do CVE ocorreu em 18/11/2014. O ataque pode ser realizado remotamente. Detalhes técnicos estão disponíveis. A popularidade desta vulnerabilidade está abaixo da média. Não existe exploit disponível. Neste momento, o preço atual de um exploit pode ser cerca de USD $0-$5k agora. Esta vulnerabilidade é atribuída a T1059.007 pelo projecto MITRE ATT&CK.

Encontra-se declarado como não definido. Esperamos que o dia 0 tenha valido aproximadamente $0-$5k. O Nessus oferece um plugin com o ID 81360 para detecção de vulnerabilidades. Encontra-se atribuído à família Fedora Local Security Checks. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 123327 (Fedora Security Update for moodle (FEDORA-2015-1751)).

Fazer upgrade para a versão 2.6.7, 2.7.4 e 2.8.2 pode mitigar este problema. É recomendado que o componente afetado seja atualizado.

A vulnerabilidade está também documentada noutras bases de dados de vulnerabilidade: SecurityFocus (BID 72662), Vulnerability Center (SBV-50366) e Tenable (81360).

Produtoinformação

Tipo

• Learning Management Software

Nome

• Moodle

Versão

• 2.5.0
• 2.5.1
• 2.5.2
• 2.5.3
• 2.5.4
• 2.5.5
• 2.5.6
• 2.5.7
• 2.5.8
• 2.5.9
• 2.6.0
• 2.6.1
• 2.6.2
• 2.6.3
• 2.6.4
• 2.6.5
• 2.6.6
• 2.7.0
• 2.7.1
• 2.7.2
• 2.7.3
• 2.8.0
• 2.8.1

Licença

• código aberto

Site

• Produto: https://moodle.org/

CPE 2.3informação

• 🔍
• 🔍
• 🔍

CPE 2.2informação

• 🔍
• 🔍
• 🔍

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 3.5
VulDB Meta Pontuação Temporária: 3.4

VulDB Pontuação Base: 3.5
VulDB Pontuação Temporária: 3.4
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Classe: Script de Site Cruzado
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Estado: Não definido
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoje	Desbloquear	Desbloquear	Desbloquear	Desbloquear

Nessus ID: 81360
Nessus Nome: Fedora 21 : moodle-2.7.5-1.fc21 (2015-1751)
Nessus Ficheiro: 🔍
Nessus Risco: 🔍
Nessus Família: 🔍

OpenVAS ID: 867773
OpenVAS Nome: Fedora Update for moodle FEDORA-2015-1751
OpenVAS Ficheiro: 🔍
OpenVAS Família: 🔍

Qualys ID: 🔍
Qualys Nome: 🔍

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: Atualização
Estado: 🔍

Tempo 0-dia: 🔍

Atualização: Moodle 2.6.7/2.7.4/2.8.2

Linha do tempoinformação

18/11/2014 🔍
19/01/2015 +62 dias 🔍
18/02/2015 +30 dias 🔍
01/06/2015 +103 dias 🔍
01/06/2015 +0 dias 🔍
02/06/2015 +1 dias 🔍
02/06/2015 +0 dias 🔍
19/05/2022 +2543 dias 🔍

Fontesinformação

Produto: moodle.org

Aconselhamento: moodle.org
Estado: Não definido
Confirmação: 🔍

CVE: CVE-2015-0212 (🔍)
GCVE (CVE): GCVE-0-2015-0212
GCVE (VulDB): GCVE-100-75640
SecurityFocus: 72662 - Moodle CVE-2015-0212 Cross Site Scripting Vulnerability
Vulnerability Center: 50366 - Moodle 2.6 - 2.6.6, 2.7 - 2.7.3, 2.8 - 2.8.1 Remote XSS in Course Request Pending Approval Page, Low

Veja também: 🔍

Entradainformação

Criado: 02/06/2015 09h56
Atualizado: 19/05/2022 19h10
Ajustamentos: 02/06/2015 09h56 (63), 29/06/2017 09h17 (8), 19/05/2022 19h10 (3)
Completo: 🔍
Cache ID: 216::103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Discussão

Do you want to use VulDB in your project?

Use the official API to access entries easily!