anchore_overrides,nvd
Moodle
Уязвимости
630
Эксплуатируемые
0
Критический
27
Высокий
95
Топ уязвимостей
CVE-2019-3809Обнаружена уязвимость в Moodle версий с 3.1 по 3.1.15 и более ранних неподдерживаемых версиях. Функция mybackpack позволяла устанавливать URL-адрес значков, когда он должен быть ограничен URL-адресом Mozilla Open Badges backpack. Это привело к возможности слепого SSRF через запросы, сделанные страницей.
CVE-2006-4936Moodle до 1.6.2 неправильно проверяет идентификатор экземпляра модуля при создании объекта модуля курса, что имеет неуказанное воздействие и векторы удаленной атаки.
CVE-2006-4935Модуль Database в Moodle до 1.6.2 неправильно обрабатывает загруженные файлы, что имеет неуказанное воздействие и векторы удаленной атаки.
CVE-2005-2247Множественные неизвестные уязвимости в Moodle до версии 1.5.1 имеют неизвестное воздействие и векторы атак.
CVE-2004-2237Неизвестная уязвимость в Moodle до версии 1.3.4 имеет неизвестное воздействие и векторы атак, связанные со "строками в текстах Moodle".
CVE-2004-2236Неизвестная уязвимость в Moodle до версии 1.3.3 имеет неизвестное воздействие и векторы атак, связанные с настройкой языка.
CVE-2004-2235Неизвестная уязвимость в Moodle до версии 1.2 имеет неизвестное воздействие и векторы атак, связанные с неправильной фильтрацией текста.
CVE-2004-2233Неизвестная "уязвимость главной страницы с серверами Moodle" для Moodle до версии 1.3.2 имеет неизвестное воздействие и векторы атак.
CVE-2025-67856Недостаток был обнаружен в Мудле. Логическая уязвимость авторизации, в частности, из-за неполных проверок роли во время процесса вручения значка, позволила выдавать значки без надлежащей проверки. Это может позволить неавторизованным пользователям получать значки, на которые они не имеют права, что может привести к эскалации привилегий или несанкционированному доступу к определенным функциям.
CVE-2025-26533В модуле фильтра списка курсов был выявлен риск SQL-инъекции.
CVE-2024-33999URL-адрес Referrer, используемый MFA, требовал дополнительной очистки вместо непосредственного использования.
CVE-2023-5550В среде общего хостинга, которая была неправильно настроена для обеспечения доступа к контенту других пользователей, пользователь Moodle, который также имеет прямой доступ к веб-серверу вне веб-корня Moodle, может использовать локальное включение файла для достижения удаленного выполнения кода.
CVE-2023-28333В вспомогательной функции Mustache pix содержался потенциальный риск внедрения Mustache в сочетании с пользовательским вводом (примечание: похоже, что это нигде не реализовано/не используется в основной LMS Moodle).
CVE-2022-40315Был выявлен ограниченный риск SQL-инъекции на странице администрирования сайта «просмотр списка пользователей».
CVE-2022-40314Был выявлен риск удаленного выполнения кода при восстановлении файлов резервных копий, созданных в Moodle 1.9.
CVE-2022-35649Уязвимость была обнаружена в Moodle, возникает из-за неправильной проверки ввода при разборе кода PostScript. Пропущенный параметр выполнения приводит к риску удаленного выполнения кода для сайтов, работающих под управлением версий GhostScript старше 9.50. Успешная эксплуатация этой уязвимости может привести к полному компрометации уязвимой системы.
CVE-2022-30600Обнаружена уязвимость в moodle, из-за которой логика, используемая для подсчета неудачных попыток входа в систему, может привести к обходу порогового значения блокировки учетной записи.
CVE-2022-30599Обнаружена уязвимость в moodle, где в коде Badges, связанном с настройкой критериев, был выявлен риск SQL-инъекции.
CVE-2022-0332Обнаружена уязвимость в Moodle в версиях с 3.11 по 3.11.4. Риск SQL-инъекции был обнаружен в веб-сервисе активности h5p, отвечающем за получение данных о попытках пользователей.
CVE-2021-3943Была обнаружена ошибка в Moodle в версиях с 3.11 по 3.11.3, с 3.10 по 3.10.7, с 3.9 по 3.9.10 и в более ранних неподдерживаемых версиях. Был выявлен риск удаленного выполнения кода при восстановлении файлов резервных копий.
CVE-2021-36394В Moodle была выявлена опасность удаленного выполнения кода в плагине аутентификации Shibboleth.
CVE-2021-36393В Moodle была выявлена опасность SQL-инъекции в библиотеке, извлекающей последние курсы пользователя.
CVE-2021-36392В Moodle была выявлена опасность SQL-инъекции в библиотеке, извлекающей курсы, на которые записан пользователь.
CVE-2017-2641В Moodle 2.x и 3.x SQL-инъекция может произойти через пользовательские настройки.
CVE-2022-45152В Moodle была обнаружена уязвимость слепой подделки запросов на стороне сервера (SSRF). Этот недостаток существует из-за недостаточной проверки предоставленных пользователем входных данных в библиотеке поставщика LTI. Библиотека не использует встроенный помощник cURL Moodle, что привело к риску слепой SSRF. Злоумышленник может отправить специально созданный HTTP-запрос и обмануть приложение, чтобы оно инициировало запросы к произвольным системам. Эта уязвимость позволяет удаленному злоумышленнику выполнять атаки SSRF.