Vulnerabilidad en el endpoint de lanzamiento móvil en Moodle (CVE-2019-14830)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-601
Redireccionamiento de URL a sitio no confiable (Open Redirect)
Fecha de publicación:
19/03/2021
Última modificación:
12/02/2023
Descripción
Se encontró una vulnerabilidad en Moodle versiones 3.7 hasta 3.7.1, versiones 3.6 hasta 3.6.5, versiones 3.5 hasta 3.5.7 y versiones anteriores no compatibles, donde el endpoint de lanzamiento móvil contenía un redireccionamiento abierto en algunas circunstancias, lo que podría resultar en un token de acceso móvil de un usuario sea expuesto. (Nota: esto no afecta a sitios con un esquema de URL forzado configurado, servicio móvil desactivado o donde el método de inicio de sesión de la aplicación móvil es "via the app")
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:moodle:moodle:*:*:*:*:*:*:*:* | 3.5.0 (incluyendo) | 3.5.7 (incluyendo) |
cpe:2.3:a:moodle:moodle:*:*:*:*:*:*:*:* | 3.6.0 (incluyendo) | 3.6.5 (incluyendo) |
cpe:2.3:a:moodle:moodle:*:*:*:*:*:*:*:* | 3.7.0 (incluyendo) | 3.7.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página