Danbardo

**Nome do software vulnerável e versões afetadas** Versões 3.7.2 e anteriores do Moodle **Descrição** A vulnerabilidade permite que usuários autenticados, como aqueles com a função de Professor ou superior, injetem código JavaScript na sessão de outro usuário, incluindo alunos matriculados ou administradores do site, por meio do parâmetro `introeditor[text]` no endpoint `/course/modedit.php`. Há uma divergência entre o descobridor e o fornecedor quanto à expectativa de confiança de que usuários autenticados como Professores possam adicionar JavaScript arbitrário, uma vez que essa capacidade não está documentada na página Teacher role do Moodle. **Recomendações** Para as versões 3.7.2 e anteriores do Moodle, como solução temporária, considere desativar a capacidade dos Professores de editar módulos do curso ou restringir o acesso ao endpoint `/course/modedit.php` até que uma solução seja fornecida. Evite usar o parâmetro `introeditor[text]` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.