Lucas Gomes

**Nome do software vulnerável e versões afetadas** Versões do Moodle 3.9.7 a 3.11.10 Versões do Moodle 3.10.4 **Descrição** O problema está relacionado à falta de proteção da estrutura da página web no Moodle, permitindo que um invasor remoto realize um ataque de script entre sites (XSS). Especificamente, em certos produtos do Moodle, após a criação de um curso, é possível adicionar um recurso a um “Tópico” arbitrário; neste caso, um “Banco de dados” do tipo “Texto”, onde os valores de `Nome do campo` e `Descrição do campo` estão vulneráveis a XSS armazenado. **Recomendações** Para as versões 3.9.7 do Moodle, atualize para uma versão posterior à 3.9.7. Para as versões 3.10.4 do Moodle, atualize para uma versão posterior à 3.10.4. Para as versões 3.11.x do Moodle anteriores à 3.11.10, atualize para a versão 3.11.10 ou posterior. Como solução temporária, considere restringir o acesso ao recurso “Banco de dados” com o tipo ‘Texto’ em “Tópicos” arbitrários até que um patch esteja disponível. Evite usar os valores `Nome do campo` e `Descrição do campo` no recurso “Banco de dados” afetado até que o problema seja resolvido.