2022-0581: Moodle: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2022-03-14 11:35)
- Neues Advisory
- Version 2 (2022-03-17 17:24)
- Für Fedora 34 und 35 stehen Sicherheitsupdates in Form von 'moodle-3.11.6-1'-Paketen im Status 'testing' bereit. Hierbei referenziert Fedora drei Schwachstellen, welche ein Angreifer aus der Ferne ausnutzen kann, um Privilegien zu eskalieren, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Für die Ausnutzung aller Schwachstellen sind übliche Privilegien erforderlich. Für die Schwachstelle CVE-2022-0983 wurde bereits Exploit-Code veröffentlicht.
- Version 3 (2022-03-21 15:54)
- Moodle hat nun weitere Informationen zu den behobenen Schwachstelle veröffentlicht. Weiterhin wurden die PHPMailer-Bibliothek und CKEditor mit Moodle 3.11.6, 3.10.10 und 3.9.13 auf die jeweils aktuellen Versionen gehoben.
Betroffene Software
Bildung
Middleware
Server
Betroffene Plattformen
Linux
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen in Moodle vermutlich aus der Ferne ausnutzen, um zunächst nicht spezifizierte Angriffe durchzuführen.
Moodle veröffentlicht Moodle 3.11.6, 3.10.10 und 3.9.13. Informationen zu damit behobenen Schwachstellen werden binnen Wochenfrist veröffentlicht.
Schwachstellen:
CVE-2022-0983
Schwachstelle in Moodle ermöglicht u. a. SQL-InjektionCVE-2022-0984
Schwachstelle in Moodle ermöglicht PrivilegieneskalationCVE-2022-0985
Schwachstelle in Moodle ermöglicht Manipulation von DateienMDL-71703
Schwachstellen in PHPMailer ermöglichen nicht spezifizierte AngriffeMDL-71722
Schwachstellen in CKEditor ermöglichen nicht spezifizierte Angriffe
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.