Dionach Admin

Nome do Software Vulnerável e Versões Afetadas: Plugin Jmol do Moodle LMS versões 6.1 e anteriores Descrição: Existe uma vulnerabilidade de path traversal no plugin Jmol do Moodle LMS através do parâmetro de query em jsmol.php. O script passa diretamente a entrada do usuário para a função `file get contents()` sem a devida validação, permitindo que atacantes leiam arquivos arbitrários do sistema de arquivos do servidor ao criar um valor de query malicioso. Esta questão pode ser explorada sem autenticação e pode expor dados sensíveis de configuração, incluindo credenciais de banco de dados. Recomendações: Para as versões 6.1 e anteriores do plugin Jmol do Moodle LMS, como uma solução temporária, considere desabilitar a função `file get contents()` ou restringir o acesso ao arquivo jsmol.php até que um patch esteja disponível. Evite utilizar o parâmetro de query no arquivo jsmol.php até que a questão seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Plugin Moodle LMS Jmol versões 6.1 e anteriores Descrição: Existe uma vulnerabilidade de cross-site scripting (XSS) refletido devido à falha da aplicação em sanitizar adequadamente a entrada do usuário antes de incorporá-la à resposta HTTP. Isso permite que um atacante execute JavaScript arbitrário no navegador da vítima ao criar um link malicioso, potencialmente sequestrando sessões de usuário ou manipulando o conteúdo da página. O problema está especificamente relacionado ao parâmetro `data` em `jsmol.php`. Recomendações: Para as versões 6.1 e anteriores do plugin Moodle LMS Jmol, considere desativar o endpoint `jsmol.php` ou restringir o acesso a ele até que um patch esteja disponível. Evite utilizar o parâmetro `data` no endpoint `jsmol.php` afetado até que o problema seja resolvido.