检测

Moodle < 1.9.6 / 1.8.10 多种漏洞

medium Nessus 插件 ID 47128

语言:

简介

远程 Web 服务器托管一个受到多个漏洞影响的 Web 应用程序。

描述

远程主机上安装的 Moodle 版本低于 1.9.6 / 1.8.10。因而会受到多个漏洞的影响:- 电子邮件变更确认代码中的电子邮件地址未正确转义。(MDL-20295) - 从 1.9.0 版之前的版本升级到新版时,某些标签未正确转义。(MDL-19709) - 更新单一简单讨论论坛中的第一则帖子时,某些老师可能发动 SQL 注入攻击。(MDL-20555) -“update_record”函数受到一个 SQL 注入问题影响。已注册的用户可利用此问题操控数据库查询,进而导致敏感信息泄露或攻击基础数据库。(MDL-20309) - 即使某老师在概述报告中没有课程的老师权限,仍有可能查看学生的所有课程成绩。(MDL-20355) - ADODB OCI8/MSSQL 驱动程序中的一个错误可允许 SQL 注入(只有使用 Oracle 和 MS SQL 数据库的服务器受到影响)。(MDL-19452)

解决方案

升级到 Moodle 1.9.6 / 1.8.10 或更高版本。

另见

http://docs.moodle.org/en/Moodle_1.9.6_release_notes#Security_issues

http://docs.moodle.org/en/Moodle_1.8.10_release_notes

插件详情

严重性: Medium

ID: 47128

文件名: moodle_196.nasl

版本: 1.11

类型: remote

系列: CGI abuses

发布时间: 2010/6/24

最近更新时间: 2025/5/14

配置: 启用全面检查 (optional)

支持的传感器: Nessus

Enable CGI Scanning: true

漏洞信息

CPE: cpe:/a:moodle:moodle

必需的 KB 项: www/PHP, installed_sw/Moodle

补丁发布日期: 2009/10/21

漏洞发布日期: 2009/10/21