Moodle < 1.9.6 / 1.8.10 多种漏洞
medium Nessus 插件 ID 47128
语言:
简介
远程 Web 服务器托管一个受到多个漏洞影响的 Web 应用程序。描述
远程主机上安装的 Moodle 版本低于 1.9.6 / 1.8.10。因而会受到多个漏洞的影响:- 电子邮件变更确认代码中的电子邮件地址未正确转义。(MDL-20295) - 从 1.9.0 版之前的版本升级到新版时,某些标签未正确转义。(MDL-19709) - 更新单一简单讨论论坛中的第一则帖子时,某些老师可能发动 SQL 注入攻击。(MDL-20555) -“update_record”函数受到一个 SQL 注入问题影响。已注册的用户可利用此问题操控数据库查询,进而导致敏感信息泄露或攻击基础数据库。(MDL-20309) - 即使某老师在概述报告中没有课程的老师权限,仍有可能查看学生的所有课程成绩。(MDL-20355) - ADODB OCI8/MSSQL 驱动程序中的一个错误可允许 SQL 注入(只有使用 Oracle 和 MS SQL 数据库的服务器受到影响)。(MDL-19452)解决方案
升级到 Moodle 1.9.6 / 1.8.10 或更高版本。另见
http://docs.moodle.org/en/Moodle_1.9.6_release_notes#Security_issues
插件详情
严重性: Medium
ID: 47128
文件名: moodle_196.nasl
版本: 1.9
类型: remote
系列: CGI abuses
发布时间: 2010/6/24
最近更新时间: 2022/4/11
配置: 启用全面检查
支持的传感器: Nessus
风险信息
CVSS v2
风险因素: Medium
基本分数: 6.8
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
漏洞信息
CPE: cpe:/a:moodle:moodle
必需的 KB 项: www/PHP, installed_sw/Moodle
补丁发布日期: 2009/10/21
漏洞发布日期: 2009/10/21