漏洞信息详情

Moodle多个安全漏洞

  • CNNVD编号:CNNVD-200412-936
  • 危害等级: 中危
  • CVE编号: CVE-2004-1424
  • 漏洞类型: 跨站脚本
  • 发布时间: 2004-12-31
  • 威胁类型: 远程
  • 更新时间: 2005-10-20
  • 厂        商: moodle
  • 漏洞来源: Bartek Nowotarski※...

漏洞简介

Moodle是一款教育相关的管理系统,包括信息的获取、传递、交流。 Moodle对用户提交的请求缺少充分过滤,远程攻击者可以利用这个漏洞获得敏感信息或查看文件内容。 问题一是跨站脚本问题: \'\'/mod/forum/view.php\'\'对用户提交给\'\'$search\'\'变量数据缺少充分过滤,提交包含恶意HTML代码作为变量数据,可导致敏感信息泄露。 问题二是会话文件泄露问题: 所有包含会话数据的文件保存在`moodledata`目录中,本来必须隐藏的,但由于如下代码: 45> $pathname = \"$CFG->dataroot$pathinfo\"; $pathinfo由detect_munged_arguments()函数检查,攻击者可\'\'..\'\'字符来绕过目录限制,查看读取会话数据。

漏洞公告

厂商补丁: Moodle ------ 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.moodle.org

参考网址

来源: BID 名称: 12120 链接:http://www.securityfocus.com/bid/12120 来源: XF 名称: moodle-view-search-xss(18702) 链接:http://xforce.iss.net/xforce/xfdb/18702 来源: SECUNIA 名称: 13694 链接:http://secunia.com/advisories/13694 来源: BUGTRAQ 名称: 20041230 Re: Multiple Vulnerabilities in Moodle 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110444531816566&w=2 来源: BUGTRAQ 名称: 20041227 Multiple Vulnerabilities in Moodle 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110425409614735&w=2 来源:NSFOCUS 名称:7295 链接:http://www.nsfocus.net/vulndb/7295

补丁

    暂无

漏洞信息快速查询

相关漏洞

更多