Allgemein
scipID: 75651 Betroffen: Moodle bis 2.5.9/2.6.6/2.7.3/2.8.1 Veröffentlicht: 01.06.2015 Risiko: problematisch Erstellt: 02.06.2015 Eintrag: 70.3% komplett
Beschreibung
Es wurde eine Schwachstelle in Moodle bis 2.5.9/2.6.6/2.7.3/2.8.1 ausgemacht. Sie wurde als problematisch eingestuft. Hiervon betroffen ist eine unbekannte Funktion der Datei mod/quiz/report/statistics/statistics_question_table.php der Komponente Quiz. Durch Manipulation mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für die Integrität. Die Schwachstelle wurde am 01.06.2015 publiziert. Die Identifikation der Schwachstelle wird mit vorgenommen. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk erfolgen. Das Ausnutzen erfordert eine einfache Authentisierung. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Ein Suchen von lässt dank Google Hacking potentiell verwundbare Systeme finden. Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID (Fedora 20 : moodle-2.6.10-1.fc20 (2015-4530)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Fedora Local Security Checks zugeordnet. Ein Aktualisieren auf die Version 2.6.7, 2.7.4 oder 2.8.2 vermag dieses Problem zu lösen. Von weiterem Interesse können die folgenden Einträge sein: , , und .
CVSS
Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N) Temp Score: 3.5 (CVSS2#E:ND/RL:OF/RC:ND)
CPE
Exploiting
Klasse: Cross Site Scripting Lokal: Nein Remote: Ja Verfügbarkeit: Nein Google Hack: Nessus ID: Nessus Name: Fedora 20 : moodle-2.6.10-1.fc20 (2015-4530) Nessus File: fedora_2015-4530.nasl Nessus Family: Fedora Local Security Checks
Gegenmassnahmen
Empfehlung: Upgrade Status: Offizieller Fix 0-Day Time: 0 Tage seit gefunden Upgrade: Moodle 2.6.7/2.7.4/2.8.2
Timeline
01.06.2015 | Advisory veröffentlicht 02.06.2015 | 02.06.2015 |
Quellen
CVE: CVE-2015-2273 Siehe auch: , , ,
Bang Roy Han