logo
漏洞数据库
  • 首页
  • 补丁
  • 专栏
  • 问答
  • 产业
  • 导航

Moodle多个安全漏洞

CNVD编号CNVD-2004-3562
CVE编号 CVE-2004-1424 CNNVD编号
CNNVD-200412-936
CICSVD编号
--
危害级别
漏洞类型 通用型漏洞
公开时间 2004-12-27 报送时间 2004-12-27
收录时间 2004-12-27 更新时间 2004-12-27
CVSS 2.0 AV:N/AC:M/Au:N/C:N/I:P/A:N
CVSS 3.X --
影响产品
(暂无)
漏洞描述
Moodle是一款教育相关的管理系统,包括信息的获取、传递、交流。 Moodle对用户提交的请求缺少充分过滤,远程攻击者可以利用这个漏洞获得敏感信息或查看文件内容。 问题一是跨站脚本问题: '/mod/forum/view.php'对用户提交给'$search'变量数据缺少充分过滤,提交包含恶意HTML代码作为变量数据,可导致敏感信息泄露。 问题二是会话文件泄露问题: 所有包含会话数据的文件保存在`moodledata`目录中,本来必须隐藏的,但由于如下代码: 45> $pathname = "$CFG->dataroot$pathinfo"; $pathinfo由detect_munged_arguments()函数检查,攻击者可'..'字符来绕过目录限制,查看读取会话数据。
漏洞解决方案
Moodle ------ 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.moodle.org
厂商补丁
暂无
验证信息
已验证
参考链接
漏洞附件
--
检索漏洞
关键词
危害级别
至
相关漏洞
Moodle多个安全绕过漏洞 1900-01-01
Moodle 多个安全绕过漏洞 2013-05-22
Moodle 安全漏洞 2018-01-23
Moodle 安全漏洞 2017-05-16
Moodle 安全漏洞 2018-05-28
同类型漏洞
CodeIgniter代码问题漏洞 2022-02-08
Mcafee Agent存在未明漏洞(CNVD-2022-08725) 2022-02-08
Nagios XI路径遍历漏洞(CNVD-2022-08733) 2022-02-08
Trend Micro Apex One存在未明漏洞 2022-02-08
Dell Emc Streaming Data Platform存在未明漏洞 2022-02-08
© 2020 WANGAN.COM 帮助网安从业者成长;关注产业发展,做网络安全忠诚卫士!
关于我们用户协议隐私政策赞助捐赠