Allgemein
scipID: 75652 Betroffen: Moodle bis 2.5.9/2.6.6/2.7.3/2.8.1 Veröffentlicht: 01.06.2015 Risiko: problematisch Erstellt: 02.06.2015 Eintrag: 68.1% komplett
Beschreibung
In Moodle bis 2.5.9/2.6.6/2.7.3/2.8.1 wurde eine Schwachstelle ausgemacht. Sie wurde als problematisch eingestuft. Betroffen ist eine unbekannte Funktion der Datei mod/quiz/db/access.php der Komponente Quiz. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Mit Auswirkungen muss man rechnen für die Integrität. Die Schwachstelle wurde am 01.06.2015 an die Öffentlichkeit getragen. Eine eindeutige Identifikation der Schwachstelle wird mit vorgenommen. Sie ist leicht auszunutzen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Mittels können durch Google Hacking potentiell verwundbare Systeme gefunden werden. Ein Upgrade auf die Version 2.6.7, 2.7.4 oder 2.8.2 vermag dieses Problem zu beheben.
CVSS
Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N) Temp Score: 3.5 (CVSS2#E:ND/RL:OF/RC:ND)
CPE
Exploiting
Klasse: Cross Site Scripting Lokal: Nein Remote: Ja Verfügbarkeit: Nein Google Hack:
Gegenmassnahmen
Empfehlung: Upgrade Status: Offizieller Fix 0-Day Time: 0 Tage seit gefunden Upgrade: Moodle 2.6.7/2.7.4/2.8.2
Timeline
01.06.2015 | Advisory veröffentlicht 02.06.2015 | 02.06.2015 |
Quellen
CVE: CVE-2015-3174
Bang Roy Han