2022-1551: Moodle: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-07-12 16:55): Neues Advisory
Version 2 (2022-07-18 16:13): Moodle stellt Informationen zu den mit den Sicherheitsupdates behobenen Schwachstellen bereit. Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, beliebigen Programmcode auszuführen, einen Cross-Site-Scripting (XSS)-Angriff durchzuführen, einen Open-Redirect-Angriff durchzuführen und nicht spezifizierte Angriffe durchzuführen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.
Version 3 (2022-07-19 09:49): Für Fedora 35 und 36 stehen Sicherheitsupdates in Form von 'moodle-3.11.8-1'-Paketen im Status 'testing' zur Behebung der Schwachstellen zur Verfügung.

Betroffene Software

Bildung
Middleware
Server

Betroffene Plattformen

Linux

Beschreibung:

Moodle veröffentlicht Moodle 4.0.2, 3.11.8 und 3.9.15. Informationen zu damit behobenen Schwachstellen werden in ca. einer Woche veröffentlicht, um Systemadministratoren die Möglichkeit zu geben, sicher auf die neueste Version zu aktualisieren.

Schwachstellen:

CVE-2022-35649

Schwachstelle in Moodle ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-35650

Schwachstelle in Moodle ermöglicht Ausspähen von Informationen

CVE-2022-35651

Schwachstelle in Moodle ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-35652

Schwachstelle in Moodle ermöglicht einen Open-Redirect-Angriff durchzuführen

CVE-2022-35653