Moodle bis 2.5.9/2.6.6/2.7.3/2.8.1 lib/externallib.php external_format_text Cross Site Scripting

Allgemein

scipID: 75656 Betroffen: Moodle bis 2.5.9/2.6.6/2.7.3/2.8.1 Veröffentlicht: 01.06.2015 Risiko: problematisch Erstellt: 02.06.2015 Eintrag: 67.6% komplett

Beschreibung

Eine problematische Schwachstelle wurde in Moodle bis 2.5.9/2.6.6/2.7.3/2.8.1 entdeckt. Es geht hierbei um die Funktion external_format_text der Bibliothek lib/externallib.php. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Das hat Auswirkungen auf die Integrität. Die Schwachstelle wurde am 01.06.2015 veröffentlicht. Die Identifikation der Schwachstelle findet als statt. Sie gilt als leicht auszunutzen. Der Angriff kann über das Netzwerk passieren. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Ein Upgrade auf die Version 2.6.7, 2.7.4 oder 2.8.2 vermag dieses Problem zu beheben.

CVSS

Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N) Temp Score: 3.5 (CVSS2#E:ND/RL:OF/RC:ND)

CPE

Exploiting

Klasse: Cross Site Scripting Lokal: Nein Remote: Ja Verfügbarkeit: Nein

Gegenmassnahmen

Empfehlung: Upgrade Status: Offizieller Fix 0-Day Time: 0 Tage seit gefunden Upgrade: Moodle 2.6.7/2.7.4/2.8.2

Timeline

01.06.2015 | Advisory veröffentlicht 02.06.2015 | 02.06.2015 |

Quellen

CVE: CVE-2015-3178 Bang Roy Han