Moodle até 2.5.9/2.6.6/2.7.3/2.8.1 editcategories.html Falsificação de Pedido entre Sites

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
4.1	$0-$5k	0.00

Sumárioinformação

Foi identificada uma vulnerabilidade classificada como problemático em Moodle até 2.5.9/2.6.6/2.7.3/2.8.1. O impacto ocorre em uma função desconhecida no arquivo editcategories.html. O tratamento leva a Falsificação de Pedido entre Sites. Esta vulnerabilidade é referenciada como CVE-2015-0213. É possível lançar o ataque remotamente. Não há exploit disponível. Recomenda-se a actualização do componente afectado.

Detalhesinformação

Foi identificada uma vulnerabilidade classificada como problemático em Moodle até 2.5.9/2.6.6/2.7.3/2.8.1. O impacto ocorre em uma função desconhecida no arquivo editcategories.html. O tratamento leva a Falsificação de Pedido entre Sites. Usar CWE para declarar o problema leva a CWE-352. O problema foi divulgado 01/06/2015 (Site). O aviso pode ser baixado em moodle.org.

Esta vulnerabilidade é referenciada como CVE-2015-0213. A designação do CVE foi realizada em 18/11/2014. É possível lançar o ataque remotamente. Informações técnicas estão acessíveis. A popularidade dessa vulnerabilidade é inferior à média. Não há exploit disponível. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento.

Está declarado como não definido. Como 0 dia, o preço estimado do subsolo foi de cerca de $5k-$25k. O Nessus, ferramenta de varredura de vulnerabilidades, disponibiliza um plugin com o identificador 81360. Está atribuído à família Fedora Local Security Checks. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 123327 (Fedora Security Update for moodle (FEDORA-2015-1751)).

A actualização para a versão 2.6.7, 2.7.4 e 2.8.2 é capaz de abordar esta questão. Recomenda-se a actualização do componente afectado.

A vulnerabilidade também está documentada em outros bancos de dados de vulnerabilidades: SecurityFocus (BID 72659), Vulnerability Center (SBV-50361) e Tenable (81360).

Produtoinformação

Tipo

• Learning Management Software

Nome

• Moodle

Versão

• 2.5.0
• 2.5.1
• 2.5.2
• 2.5.3
• 2.5.4
• 2.5.5
• 2.5.6
• 2.5.7
• 2.5.8
• 2.5.9
• 2.6.0
• 2.6.1
• 2.6.2
• 2.6.3
• 2.6.4
• 2.6.5
• 2.6.6
• 2.7.0
• 2.7.1
• 2.7.2
• 2.7.3
• 2.8.0
• 2.8.1

Licença

• código aberto

Site

• Produto: https://moodle.org/

CPE 2.3informação

• 🔍
• 🔍
• 🔍

CPE 2.2informação

• 🔍
• 🔍
• 🔍

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 4.3
VulDB Meta Pontuação Temporária: 4.1

VulDB Pontuação Base: 4.3
VulDB Pontuação Temporária: 4.1
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Classe: Falsificação de Pedido entre Sites
CWE: CWE-352 / CWE-862 / CWE-863
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Estado: Não definido
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoje	Desbloquear	Desbloquear	Desbloquear	Desbloquear

Nessus ID: 81360
Nessus Nome: Fedora 21 : moodle-2.7.5-1.fc21 (2015-1751)
Nessus Ficheiro: 🔍
Nessus Risco: 🔍
Nessus Família: 🔍

OpenVAS ID: 867773
OpenVAS Nome: Fedora Update for moodle FEDORA-2015-1751
OpenVAS Ficheiro: 🔍
OpenVAS Família: 🔍

Qualys ID: 🔍
Qualys Nome: 🔍

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: Atualização
Estado: 🔍

Tempo 0-dia: 🔍

Atualização: Moodle 2.6.7/2.7.4/2.8.2

Linha do tempoinformação

18/11/2014 🔍
19/01/2015 +62 dias 🔍
19/01/2015 +0 dias 🔍
01/06/2015 +133 dias 🔍
01/06/2015 +0 dias 🔍
02/06/2015 +1 dias 🔍
02/06/2015 +0 dias 🔍
19/05/2022 +2543 dias 🔍

Fontesinformação

Produto: moodle.org

Aconselhamento: moodle.org
Estado: Não definido
Confirmação: 🔍

CVE: CVE-2015-0213 (🔍)
GCVE (CVE): GCVE-0-2015-0213
GCVE (VulDB): GCVE-100-75641
SecurityFocus: 72659 - Moodle CVE-2015-0213 Multiple Cross Site Request Forgery Vulnerabilities
Vulnerability Center: 50361 - Moodle 2.6 - 2.6.6, 2.7 - 2.7.3, 2.8 - 2.8.1 Multiple Remote CSRF in Glossary Module, Medium

Veja também: 🔍

Entradainformação

Criado: 02/06/2015 09h57
Atualizado: 19/05/2022 19h17
Ajustamentos: 02/06/2015 09h57 (62), 29/06/2017 07h42 (8), 19/05/2022 19h17 (3)
Completo: 🔍
Cache ID: 216::103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Discussão

Do you want to use VulDB in your project?

Use the official API to access entries easily!