Allgemein
scipID: 75644 Betroffen: Moodle bis 2.8.1 Veröffentlicht: 01.06.2015 Risiko: problematisch Erstellt: 02.06.2015 Eintrag: 70.3% komplett
Beschreibung
Eine problematische Schwachstelle wurde in Moodle bis 2.8.1 ausgemacht. Hierbei geht es um eine unbekannte Funktion der Datei access.php der Komponente Essay Feedback Handler. Durch Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Mit Auswirkungen muss man rechnen für die Integrität. Die Schwachstelle wurde am 01.06.2015 veröffentlicht. Die Identifikation der Schwachstelle findet als statt. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk passieren. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Mittels können durch Google Hacking potentiell verwundbare Systeme gefunden werden. Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID (Fedora 21 : moodle-2.7.5-1.fc21 (2015-1751)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Fedora Local Security Checks zugeordnet. Ein Upgrade auf die Version 2.8.2 vermag dieses Problem zu beheben. Schwachstellen ähnlicher Art sind dokumentiert unter , , und .
CVSS
Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N) Temp Score: 3.5 (CVSS2#E:ND/RL:OF/RC:ND)
CPE
Exploiting
Klasse: Cross Site Scripting Lokal: Nein Remote: Ja Verfügbarkeit: Nein Google Hack: Nessus ID: Nessus Name: Fedora 21 : moodle-2.7.5-1.fc21 (2015-1751) Nessus File: fedora_2015-1751.nasl Nessus Family: Fedora Local Security Checks
Gegenmassnahmen
Empfehlung: Upgrade Status: Offizieller Fix 0-Day Time: 0 Tage seit gefunden Upgrade: Moodle 2.8.2
Timeline
01.06.2015 | Advisory veröffentlicht 02.06.2015 | 02.06.2015 |
Quellen
CVE: CVE-2015-0216 Siehe auch: , , , , , ,
Bang Roy Han