Moodle多个安全漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1200420 漏洞类型 跨站脚本
发布时间 2004-12-31 更新时间 2005-10-20
CVE编号 CVE-2004-1424 CNNVD-ID CNNVD-200412-936
漏洞平台 N/A CVSS评分 4.3
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200412-936
|漏洞详情
Moodle是一款教育相关的管理系统,包括信息的获取、传递、交流。Moodle对用户提交的请求缺少充分过滤,远程攻击者可以利用这个漏洞获得敏感信息或查看文件内容。问题一是跨站脚本问题:'/mod/forum/view.php'对用户提交给'$search'变量数据缺少充分过滤,提交包含恶意HTML代码作为变量数据,可导致敏感信息泄露。问题二是会话文件泄露问题:所有包含会话数据的文件保存在`moodledata`目录中,本来必须隐藏的,但由于如下代码:45>$pathname="$CFG->dataroot$pathinfo";$pathinfo由detect_munged_arguments()函数检查,攻击者可'..'字符来绕过目录限制,查看读取会话数据。
|参考资料

来源:BID
名称:12120
链接:http://www.securityfocus.com/bid/12120
来源:XF
名称:moodle-view-search-xss(18702)
链接:http://xforce.iss.net/xforce/xfdb/18702
来源:SECUNIA
名称:13694
链接:http://secunia.com/advisories/13694
来源:BUGTRAQ
名称:20041230Re:MultipleVulnerabilitiesinMoodle
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110444531816566&w=2
来源:BUGTRAQ
名称:20041227MultipleVulnerabilitiesinMoodle
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110425409614735&w=2
来源:NSFOCUS
名称:7295
链接:http://www.nsfocus.net/vulndb/7295