Paul Holden

**Nome do Software Vulnerável e Versões Afetadas** Moodle (versões afetadas não especificadas) **Descrição** Uma falha foi descoberta no software, na qual verificações adicionais eram necessárias para garantir que os usuários pudessem acessar apenas dados de coorte aos quais estavam autorizados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** O nome do produto não pode ser determinado. **Descrição** Verificações adicionais são necessárias para garantir que o trusttext seja aplicado às entradas de glossário sendo restauradas quando ele estiver habilitado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** O nome do produto não pode ser determinado. **Descrição** Verificações de capacidade insuficientes permitem acesso não autorizado para desativar distintivos que o usuário não tem permissão para acessar. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** moodle (versões afetadas não especificadas) **Descrição** Foi identificada uma falha no moodle, na qual o acesso externo à API do Quiz pode contornar o controle de acesso insuficiente implementado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Moodle anteriores à 4.4.2 **Descrição** Foi identificada uma falha no Moodle em que segredos e chaves confidenciais não são excluídos da exportação das predefinições de administração do site, o que pode levar a um vazamento involuntário caso sejam compartilhados com terceiros. Esse problema está relacionado ao armazenamento desprotegido de informações confidenciais, o que poderia permitir que um invasor remoto acessasse dados sensíveis. **Recomendações** Para versões do Moodle anteriores à 4.4.2, atualize para a versão mais recente para resolver o problema. Como solução temporária, considere restringir o acesso ao recurso de exportação de predefinições de administração do site para minimizar o risco de exploração. Evite compartilhar predefinições de administração do site com terceiros até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Moodle (versões afetadas não especificadas) **Descrição** O problema está relacionado a verificações de permissão insuficientes, permitindo que um invasor remoto exclua dados, especificamente emblemas aos quais o usuário não tem permissão de acesso. Isso se deve a uma falha na autorização no ambiente virtual de aprendizagem. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Moodle (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma vulnerabilidade CSRF no recurso de envio em massa de mensagens do relatório de não respondentes do módulo Feedback do Moodle. Essa vulnerabilidade é causada por uma verificação incorreta do token CSRF, o que poderia permitir que um invasor remoto realizasse um ataque CSRF. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Moodle (versões afetadas não especificadas) **Descrição** Foi identificada uma falha no Moodle relacionada à inclusão de arquivos locais ao restaurar backups incorretos de blocos. Essa vulnerabilidade pode permitir que um invasor remoto acesse dados confidenciais. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Feedback (versões afetadas não especificadas) **Descrição** Foi identificada uma falha no Feedback em que o envio em massa de mensagens no relatório de não respondentes da atividade não verificava se os destinatários das mensagens pertenciam ao conjunto de usuários retornado pelo relatório. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** BigBlueButton (versões afetadas não especificadas) **Descrição** Verificações de permissão insuficientes permitiam que usuários obtivessem acesso a URLs de participação do BigBlueButton para as quais não tinham permissão. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Moodle (versões afetadas não especificadas) **Descrição** O problema diz respeito a um risco de CSRF na gestão administrativa dos modelos de análise, devido à falta de um token necessário. Isso poderia permitir ações não autorizadas em nome dos usuários. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Ferramenta de predefinições de administrador (versões afetadas não especificadas) **Descrição** O problema está relacionado a um risco de CSRF devido à ausência de um token necessário em ações realizadas na ferramenta de predefinições de administrador. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Software (versões afetadas não especificadas) **Descrição** O problema diz respeito a um risco de XSS armazenado devido à sanitização insuficiente dos números de identificação exibidos no relatório de visão geral das aulas. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Moodle (affected versions not specified) **Description** The issue is related to an XSS risk in the course upload preview, which can be exploited when users upload unsafe data. This can allow a remote attacker to perform cross-site scripting attacks. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Software (affected versions not specified) **Description** The issue concerns a stored XSS risk in the quiz grading report, where ID numbers were not properly sanitized. This could potentially allow for malicious script execution. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** No specific software or versions are mentioned in the provided descriptions. **Description** The issue allows authenticated users to enumerate other users' names via the learning plans page. This means that users who have authentication credentials can access and list the names of other users through this specific page. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** H5P (versões afetadas não especificadas) **Descrição** O problema está relacionado a um risco de CSRF ao ativar e desativar bibliotecas H5P instaladas, uma vez que o token necessário para prevenir esse risco não foi incluído. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Moodle (versões afetadas não especificadas) **Descrição** Foi identificada uma falha no Moodle em que os números de identificação exibidos durante a atribuição em massa de avaliadores a tarefas exigiam uma sanitização adicional para evitar um risco de XSS armazenado. A vulnerabilidade está relacionada à sanitização insuficiente de dados no formulário de atribuição em massa de avaliadores, o que pode permitir que um invasor remoto realize ataques de cross-site scripting usando um script especialmente criado. Isso pode permitir que o invasor injete e execute código HTML e de script arbitrário no navegador de um usuário dentro do contexto do site vulnerável. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 3.11 a 3.11.4 do Moodle **Descrição** Foi encontrada uma falha no serviço web da atividade h5p do Moodle, responsável por buscar dados de tentativas dos usuários. Essa falha está relacionada à proteção insuficiente da estrutura da consulta SQL, permitindo a injeção de SQL. A vulnerabilidade pode ser explorada por um invasor remoto para executar consultas SQL arbitrárias no banco de dados, levando potencialmente à leitura, exclusão ou modificação de dados no banco de dados e à obtenção de controle total sobre o aplicativo vulnerável. **Recomendações** Para as versões 3.11 a 3.11.4 do Moodle, atualize para uma versão que contenha uma correção para este problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Moodle 3.11 a 3.11.3 Versões do Moodle 3.10 a 3.10.7 Versões do Moodle 3.9 a 3.9.10 Versões do Moodle anteriores à 3.9 **Descrição** O problema está relacionado a erros no gerenciamento da geração de código, permitindo que um invasor remoto execute código arbitrário usando uma solicitação especialmente criada. Foi identificado um risco de execução remota de código durante a restauração de arquivos de backup. **Recomendações** Para as versões do Moodle 3.11 a 3.11.3, atualize para uma versão posterior à 3.11.3 para resolver o problema. Para as versões do Moodle 3.10 a 3.10.7, atualize para uma versão posterior à 3.10.7 para resolver o problema. Para as versões do Moodle 3.9 a 3.9.10, atualize para uma versão posterior à 3.9.10 para resolver o problema. Para versões do Moodle anteriores à 3.9, atualize para uma versão suportada para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao recurso de restauração de arquivos de backup até que um patch esteja disponível.