Vulnerabilidad en Moodle (CVE-2018-1081)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
04/04/2018
Última modificación:
28/08/2020
Descripción
Se ha encontrado un error en Moodle 3.4 a 3.4.1, 3.3 a 3.3.4, 3.2 a 3.2.7 y 3.1 a 3.1.10, así como en versiones anteriores sin soporte. Los usuarios no autenticados pueden desencadenar mensajes personalizados para los administradores mediante un script de registro en paypal. El script de devolución de llamada IPN de Paypal solo debería enviar emails de error a admin tras haber verificado el origen de la petición; de otra forma, se puede spamear el email del admin.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:moodle:moodle:*:*:*:*:*:*:*:* | 3.0.10 (incluyendo) | |
| cpe:2.3:a:moodle:moodle:*:*:*:*:*:*:*:* | 3.1 (incluyendo) | 3.1.10 (incluyendo) |
| cpe:2.3:a:moodle:moodle:*:*:*:*:*:*:*:* | 3.2 (incluyendo) | 3.2.7 (incluyendo) |
| cpe:2.3:a:moodle:moodle:*:*:*:*:*:*:*:* | 3.3 (incluyendo) | 3.3.4 (incluyendo) |
| cpe:2.3:a:moodle:moodle:*:*:*:*:*:*:*:* | 3.4.0 (incluyendo) | 3.4.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página