PT-2021-3114 · Moodle+1 · Moodle+1
Rekter0
·
Publicado
2021-05-10
·
Atualizado
2024-03-06
·
CVE-2021-32474
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Moodle 3.5 a 3.5.17
Versões do Moodle 3.8 a 3.8.8
Versões do Moodle 3.9 a 3.9.6
Versões do Moodle 3.10 a 3.10.3
Descrição
Existe um risco de injeção de SQL em sites com o MNet habilitado e configurado, por meio de uma chamada XML-RPC do host par conectado. Isso requer acesso de administrador do site ou acesso ao par de chaves. O problema se deve à limpeza insuficiente dos dados fornecidos pelo usuário na chamada XML-RPC, permitindo que um invasor remoto execute consultas SQL arbitrárias.
Recomendações
Para as versões do Moodle 3.5 a 3.5.17, atualize para uma versão posterior à 3.5.17 para resolver o problema.
Para as versões do Moodle 3.8 a 3.8.8, atualize para uma versão posterior à 3.8.8 para resolver o problema.
Para as versões 3.9 a 3.9.6 do Moodle, atualize para uma versão posterior à 3.9.6 para resolver o problema.
Para as versões 3.10 a 3.10.3 do Moodle, atualize para uma versão posterior à 3.10.3 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso à chamada XML-RPC para minimizar o risco de exploração.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Moodle