Jordan Tomkinson

**Nome do software vulnerável e versões afetadas** Versões do Moodle 3.10 a 3.10.3 Versões do Moodle 3.9 a 3.9.6 Versões do Moodle 3.8 a 3.8.8 Versões do Moodle anteriores à 3.8 **Descrição** O problema decorre da sanitização insuficiente dos dados fornecidos pelo usuário no endpoint de autorização LTI, levando a riscos de XSS refletido e redirecionamento aberto. Isso poderia permitir que um invasor remoto realizasse ataques de cross-site scripting. **Recomendações** Para as versões 3.10 a 3.10.3, atualize para uma versão que inclua a sanitização necessária da URI de redirecionamento no endpoint de autorização LTI. Para as versões 3.9 a 3.9.6, atualize para uma versão que inclua a sanitização necessária da URI de redirecionamento no endpoint de autorização LTI. Para as versões 3.8 a 3.8.8, atualize para uma versão que inclua a sanitização necessária do URI de redirecionamento no endpoint de autorização LTI. Para versões anteriores à 3.8, atualize para uma versão que inclua a sanitização necessária do URI de redirecionamento no endpoint de autorização LTI.

Name of the Vulnerable Software and Affected Versions: Moodle versions 3.x Description: The issue allows the setting for blocked hosts list to be bypassed using multiple A record hostnames. Recommendations: For Moodle versions 3.x, consider restricting the use of multiple A record hostnames to minimize the risk of bypassing the blocked hosts list setting until a patch is available.