根据其自我报告的版本，远程主机上托管的 Moodle 安装低于 3.9.23 或低于 3.11.x 的 3.11.16。Moodle 随附的 JQuery UI 库已升级到版本 1.13.2，其中包含多个安全问题的补丁。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程主机上托管的 Moodle 安装低于 3.9.23，安装 3.11.x 低于 3.11.16，安装 4.0.x 低于 4.0.10，安装 4.1.x 低于 4.1.5 或安装 4.2.x 低于 4.2.2。因此该软件受到多个漏洞的影响。

- 限制不充分导致学生在尝试测试期间绕过顺序导航成为可能。

- 功能检查不充分，导致不具备相关功能的用户可以使用能力框架工具。

- 管理员查看所有策略页面 URL 需要额外审查以防止开放重定向风险。

- 不充分的功能检查允许获取其他用户的消息处理器首选项数据。

- 可能将存储的自身 XSS 升级为用户通过 OAuth 2 登录的存储 XSS。

- 系统仪表板中单个区块的权限替代未级联到用户仪表板。

- 在解析文件存储库引用属性的位置发现远程代码执行风险。

- 不正确的域匹配逻辑使得绕过代理成为可能，这可导致访问代理预期要阻止的主机。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据应用程序自我报告的版本号，远程主机上安装的 Moodle 为低于 3.9.24 的版本、或为低于 3.11.17 的 3.11.x 版、低于 4.0.11 的 4.0.x 版、低于4.1.6 的 4.1.x 版或低于 4.2.3 的 4.2.x 版。因此，该软件受到多个漏洞的影响：

- 处于“单独群组”模式时，论坛汇总报告会显示其他群组的学生

- 在某些错误配置的共享托管环境中，因 LFI 风险而导致 RCE

- 更新课程类别的父项时功能检查不充分

- 使文件服务端点修订控制变得更严格

- 在课程上传工具中预览数据时会产生 XSS 风险

- 自动填充的 H5P 作者姓名可能造成信息泄露

- Wiki 注释中存在存储型 XSS 和潜在的 IDOR 风险

- 学生可查看“仅查看自己成员资格”群组中的其他学生

- 使用 CSV 等级导入方法时存在 XSS 风险

- IMSCP 中存在经身份验证的远程代码执行风险

- Lesson 中存在经身份验证的远程代码执行风险

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程主机上托管的 Moodle 安装为低于 4.2.x 的 4.2.4 或低于 4.3.x 的 4.3.1。因此，受到多个跨站脚本的影响：

- 特别任务页面上的反射型 XSS 风险

- Grader 报告搜索中的反射型 XSS 风险

- Grader 报告中通过用户 ID 号存储的 XSS

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程主机上托管的 Moodle 安装低于 3.9.25 / 3.11.x 低于 3.11.18 / 4.0.x 低于 4.0.12 / 4.1.x 低于 4.1.7 / 4.2.x 低于 4.2.4。因此，该软件受到多个漏洞的影响：

- 在管理 UI 中手动运行任务时存在 XSS 风险

- 所有用户都可以使用徽标收件人

- 调查回复不遵守组设置

- 日志和 Live 日志课程报告不遵守活动群组设置

- 课程区块中的经认证远程代码执行风险

- URL 下载程序中的 DOS 风险

- 作为管理器在日志存储中出现的经过认证的远程代码执行风险

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据应用程序自我报告的版本号，远程主机上安装的 Moodle 为低于 4.1.10 的版本、或为低于 4.2.7 的 4.2.x 版、低于 4.3.3 的 4.3.x 版。因此该软件受到多个漏洞的影响。

- 分析模型的管理员管理操作未包含可防止 CSRF 风险的必要标记。

- 站点日志报告需要对事件描述进行额外编码，以确保内容中的任何 HTML 以明文显示而不是被呈现。

- 在被错误配置为允许访问其他用户内容的共享托管环境中，同时具有还原数据库活动模块访问权限和 Moodle webroot 之外 Web 服务器直接访问权限的 Moodle 用户可执行本地文件包含攻击。

- 在被错误配置为允许访问其他用户内容的共享托管环境中，同时具有还原 wiki 模块访问权限和 Moodle webroot 之外 Web 服务器直接访问权限的 Moodle 用户可执行本地文件包含攻击。

- 在被错误配置为允许访问其他用户内容的共享托管环境中，同时具有还原工作坊模块访问权限和 Moodle webroot 之外 Web 服务器直接访问权限的 Moodle 用户可执行本地文件包含攻击。

- 在被错误配置为允许访问其他用户内容的共享托管环境中，同时具有还原反馈模块访问权限和 Moodle webroot 之外 Web 服务器直接访问权限的 Moodle 用户可执行本地文件包含攻击。

- 管理员重设工具中的操作未包含可防止 CSRF 风险的必要标记。

- 课程概览报告中显示的 ID 号需要额外审查以防止存储型 XSS 风险。

- 对参与者页表中的参与者名称转义不充分，导致与某些功能交互时会产生存储型 XSS 风险。

- 打开公式编辑器时需要进行额外的审查，以防止编辑其他用户的公式时产生存储型 XSS 风险。

- 日历 Web 服务中对允许事件类型的验证存在缺陷，导致部分用户能够创建其无权发布的事件类型/受众群体。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本远程主机上托管的 Moodle 安装版本是 4.3.x 低于 4.3.4。因此该软件受到多个漏洞的影响。

- 是否启用 ReCAPTCHA 的检查不足可以使其绕过登录页面上的检查。这并未影响使用 ReCAPTCHA 的其他页面。

- MFA 中的注销选项未包含必要的标记来避免无意间通过 CSRF 注销用户的风险。

- MFA 使用的引用 URL 需要经过额外审查才能直接使用。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据应用程序自我报告的版本号，远程主机上安装的 Moodle 为低于 4.1.11 的版本、或为低于 4.2.8 的 4.2.x 版、低于 4.3.5 的 4.3.x 版或低于4.4.1 的 4.4.x 版。因此该软件受到多个漏洞的影响。

- 应为用户的 QR 登录密钥及其自动登录密钥生成唯一密钥，同一个密钥不能在两者之间互换使用。

- 错误的 CSRF 标记检查导致多种 CSRF 风险。

- Moodle 中的 cURL 封装程序在追踪重定向时保留了原始请求标头，因此可能在请求中无意间发送 HTTP 授权标头信息至重定向 URL。

- 日历事件标题转义不充分，导致在事件删除提示中可能包含存储型 XSS 漏洞。

- 功能检查不充分意味着用户有可能在没有访问权限的情况下访问 BigBlueButton 加入 URL。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程主机上托管的 Moodle 安装为 4.1.x 之前的 4.1.15、 4.3.x 之前的 4.3.9或 4.4.x 之前的 4.4.5。因此该软件受到多个漏洞的影响。

- 访客会话较长的超时期可能会造成拒绝服务风险。

- 单独群组模式中的数据库活动问题（针对不在群组中的用户）。

- 可通过首选项使用电子邮件变更确认标记。

- 标签索引页面会显示标有所选标签的其他用户。

- 通过学习计划 Web 服务对敏感信息进行未受保护的访问。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程主机上托管的 Moodle 安装版本为 4.4.x4.4.2] 之前的  。因此，该主机受到多个漏洞的影响：

- Matrix 用户/功率级别管理对于已暂停的用户无法始终按预期正常工作。

- 将外部方法用于 Quiz 替代时缺少访问控制。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程主机上托管的 Moodle 安装版本为 4.1.x 之前的 4.1.12、 4.2.x 之前的 4.2.9、 4.3.x 之前的 [ 4.3.6，或是 4.4.x 之前的 4.4.2。因此该软件受到多个漏洞的影响。

- 还原畸形区块备份时的 LFI 漏洞。

- 通过 H5P 错误消息造成的反射型 XSS。

- 反馈非响应者报告中的 IDOR 允许消息任意网站用户。

- 还原恶意课程备份文件时存在 XSS 风险。

- 通过 XMLDB 编辑器发生的站点管理 SQL 注入。

- 可以在没有管理员权限的情况下创建全局词汇表。

- 反馈未回复者报告中的 CSRF 风险。

- 在“模拟重定向”之间保留了授权标头。

- 徽标中的 IDOR 允许删除任意徽标。

- 等级簿报告中的用户信息可见性控制问题。

- 通过注入存储导致的缓存中毒。

- 管理预设导出工具包含一些不应导出的密码。

- 通过 pdfTeX 的任意文件读取风险。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本远程主机上托管的 Moodle 安装是低于 4.1.x 的 4.1.13、低于 4.2.x 的 4.2.10]、低于 4.3.x4.3.7的 []或低于 4.4.x ] 的 4.4.3。因此该软件受到多个漏洞的影响。

- 通过 PHP 松散比较造成的课程活动密码绕过。

- 删除 OAuth2 链接帐户时的 IDOR。

- 通过动态表在未受保护的情况下访问敏感信息。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程主机上托管的 Moodle 安装版本为 4.4.x4.4.4] 之前的  。因而会受到多个不安全直接对象引用的影响。

- 访问徽标收件人列表时发生 IDOR。

- 访问课程徽标列表时发生 IDOR。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程主机上托管的 Moodle 安装版本为 4.1.x 之前的 4.1.14、 4.2.x 之前的 4.2.11、 4.3.x 之前的 [ 4.3.8，或是 4.4.x 之前的 4.4.4。因此该软件受到多个漏洞的影响。

- 获取报告计划时的 IDOR。

- 一些用户可以删除其他报告的访问权限。

- 编辑/删除 RSS 源中的 IDOR。

- 在消息传递错误消息中返回了用户的名称。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程主机上托管的 Moodle 安装为低于 4.3.x 的 4.3.8 或低于 4.4.4 的 4.4.5 或低于 4.5.x ] 的 4.5.1 。因此，受到问题库过滤器中反射型 XSS 的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程主机上托管的 Moodle 安装低于 4.1.17 或低于 4.3.x 的 4.3.11 或低于 4.4.x ] 的 4.4.7 或低于 4.5.x 的 4.5.3。因此，它受到通过 REST API 造成的数据暴露的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据应用程序自我报告的版本号，远程主机上安装的 Moodle 为 4.3.10 之前的 4.1.16 或 4.3.x、4.4.6 之前的 4.4.x 或 4.5.2 之前的 4.5.x。因此该软件受到多个漏洞的影响。

- 在课程搜索的模块列表过滤器中发现 SQL 注入风险。

- 需要执行额外检查，以确保将 trusttext（如已启用）应用到正在还原的词汇表条目。

- 功能检查不充分可能导致禁用用户无权访问的徽标。

- 上游 RequireJS 库已升级，其中包含一个安全修复程序。

- 需要对问题库过滤器进行额外审查，以防止反射型 XSS 风险。

- 需要对站点管理实时日志中显示的说明信息进行额外审查，以防止存储型 XSS 风险。

- 需要对拖放到图像上 (ddimageortext) 问题类型进行额外审查，以防止存储型 XSS 风险。

- 用户仍然可以通过标签搜索页面或在标签块中发现预期不对用户可见的标签。

- 在允许查看或删除反馈活动中的响应之前，未将“单独群组”模式限制纳入权限检查。

- TeX 标记过滤器中的不充分审查导致提供 pdfTeX 的站点（例如安装 TeX Live 的站点）出现任意文件读取风险。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

ID	名称	严重性
114746	Moodle 3.11.x < 3.11.16 JQuery UI 库升级	medium
114745	Moodle < 3.9.23 多个漏洞	low
114744	Moodle 3.11.x < 3.11.16 多个漏洞	low
114743	Moodle 4.0.x < 4.0.10 多个漏洞	low
114742	Moodle 4.1.x < 4.1.5 多个漏洞	low
114741	Moodle 4.2.x < 4.2.2 多个漏洞	low
114740	Moodle 4.2.x < 4.2.3 多个漏洞	critical
114739	Moodle 4.1.x < 4.1.6 多个漏洞	critical
114738	Moodle 4.0.x < 4.0.11 多个漏洞	critical
114737	Moodle 3.11.x < 3.11.17 多个漏洞	critical
114736	Moodle < 3.9.24 多个漏洞	critical
114735	Moodle 4.3.x < 4.3.1 多种跨站脚本	medium
114734	Moodle 4.2.x < 4.2.4 多种跨站脚本	medium
114733	Moodle 4.2.x < 4.2.4 多个漏洞	high
114732	Moodle 4.1.x < 4.1.7 多个漏洞	high
114731	Moodle 4.0.x < 4.0.12 多个漏洞	high
114730	Moodle 3.11.x < 3.11.18 多个漏洞	high
114729	Moodle < 3.9.25 多个漏洞	high
114728	Moodle 4.3.x < 4.3.3 多个漏洞	high
114727	Moodle 4.2.x < 4.2.7 多个漏洞	high
114726	Moodle < 4.1.10 多个漏洞	high
114725	Moodle 4.3.x < 4.3.4 多个漏洞	high
114724	Moodle 4.4.x < 4.4.1 多个漏洞	medium
114723	Moodle 4.3.x < 4.3.5 多个漏洞	medium
114722	Moodle 4.2.x < 4.2.8 多个漏洞	medium
114721	Moodle 4.4.x < 4.4.5 多个漏洞	high
114720	Moodle 4.4.x < 4.4.2 多种漏洞	medium
114719	Moodle < 4.1.12 多个漏洞	high
114718	Moodle 4.2.x < 4.2.9 多个漏洞	high
114717	Moodle 4.3.x < 4.3.6 多个漏洞	high
114716	Moodle 4.4.x < 4.4.2 多个漏洞	high
114715	Moodle 4.1.x < 4.1.13 多个漏洞	medium
114714	Moodle 4.2.x < 4.2.10 多个漏洞	medium
114713	Moodle 4.3.x < 4.3.7 多个漏洞	medium
114712	Moodle 4.4.x < 4.4.3 多个漏洞	medium
114711	Moodle 4.4.x < 4.4.4 多种不安全的直接对象引用	medium
114710	Moodle < 4.1.14 多个漏洞	medium
114709	Moodle 4.2.x < 4.2.11 多个漏洞	medium
114708	Moodle 4.3.x < 4.3.8 多个漏洞	medium
114707	Moodle 4.4.x < 4.4.4 多个漏洞	medium
114706	Moodle 4.5.x < 4.5.1 问题库过滤器中的反射型 XSS	medium
114705	Moodle 4.4.4 < 4.4.5 问题库过滤器中的反射型 XSS	medium
114704	Moodle 4.3.x < 4.3.8 问题库过滤器中的反射型 XSS	medium
114703	Moodle < 4.1.15 多个漏洞	high
114702	Moodle 4.3.x < 4.3.9 多个漏洞	high
114701	Moodle 4.5.x < 4.5.3 未经认证的 REST API 数据泄露	high
114700	Moodle 4.1.x < 4.1.16 多个漏洞	critical
114699	Moodle 4.3.x < 4.3.10 多个漏洞	critical
114698	Moodle 4.4.x < 4.4.6 多个漏洞	critical
114697	Moodle 4.5.x < 4.5.2 多个漏洞	critical

检测

Web App Scanning 的 Component Vulnerability 系列

medium

low

low

low

low

low

critical

critical

critical

critical

critical

medium

medium

high

high

high

high

high

high

high

high

high

medium

medium

medium

high

medium

high

high

high

high

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

high

high

high

critical

critical

critical

critical