DFN-CERT

Advisory-Archiv

2021-1609: Moodle: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-07-27 20:12)
Neues Advisory
Version 2 (2021-07-29 12:42)
Moodle stellt aufgrund einer Regression, die durch den Patch für CVE-2021-36396 aufgetreten ist, die fehlerbereinigten Versionen 3.11.2, 3.10.6 und 3.9.9 zur Verfügung.

Betroffene Software

Bildung
Middleware
Server

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, Cross-Site-Scripting (XSS)-Angriffe und einen Denial-of-Service (DoS)-Angriff durchzuführen sowie falsche Informationen darzustellen. Für die Ausnutzung der meisten Schwachstellen sind übliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einiger Schwachstellen kann Einfluss auf andere Komponenten haben.

Der Hersteller informiert über die Schwachstellen und stellt Moodle 3.11.1, 3.10.5 und 3.9.8 zur Behebung bereit. Ältere Versionszweige gelten ebenfalls als verwundbar, werden aber nicht mehr mit Sicherheitsupdates versorgt.

Schwachstellen:

CVE-2021-36392

Schwachstelle in Moodle ermöglicht SQL-Injection-Angriff

CVE-2021-36393

Schwachstelle in Moodle ermöglicht SQL-Injection-Angriff

CVE-2021-36394

Schwachstelle in Moodle ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-36395

Schwachstelle in Moodle ermöglicht Denial-of-Service-Angriff

CVE-2021-36396

Schwachstelle in Moodle ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2021-36397

Schwachstelle in Moodle ermöglicht Privilegieneskalation

CVE-2021-36398

Schwachstelle in Moodle ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-36399

Schwachstelle in Moodle ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-36400

Schwachstelle in Moodle ermöglicht Privilegieneskalation

CVE-2021-36401

Schwachstelle in Moodle ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-36402

Schwachstelle in Moodle ermöglicht Darstellen falscher Informationen

CVE-2021-36403

Schwachstelle in Moodle ermöglicht Darstellen falscher Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.