CVE-2019-18210

Versões 3.7.2 e anteriores do Moodle

A vulnerabilidade permite que usuários autenticados, como aqueles com a função de Professor ou superior, injetem código JavaScript na sessão de outro usuário, incluindo alunos matriculados ou administradores do site, por meio do parâmetro introeditor[text] no endpoint /course/modedit.php. Há uma divergência entre o descobridor e o fornecedor quanto à expectativa de confiança de que usuários autenticados como Professores possam adicionar JavaScript arbitrário, uma vez que essa capacidade não está documentada na página Teacher role do Moodle.

Para as versões 3.7.2 e anteriores do Moodle, como solução temporária, considere desativar a capacidade dos Professores de editar módulos do curso ou restringir o acesso ao endpoint /course/modedit.php até que uma solução seja fornecida. Evite usar o parâmetro introeditor[text] no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.