PT-2021-8980 · Moodle+1 · Moodle+1
Frederik Schou Schmidt
·
Publicado
2019-09-11
·
Atualizado
2023-02-12
·
CVE-2019-14830
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Moodle 3.7 a 3.7.1
Versões do Moodle 3.6 a 3.6.5
Versões do Moodle 3.5 a 3.5.7
Versões do Moodle anteriores à 3.5
Descrição
Foi encontrada uma vulnerabilidade no endpoint de inicialização móvel, que continha um redirecionamento aberto em algumas circunstâncias. Isso poderia resultar na exposição do token de acesso móvel do usuário. O problema não afeta sites com um esquema de URL forçado configurado, serviço móvel desativado ou onde o método de login do aplicativo móvel é “via aplicativo”.
Recomendações
Para as versões do Moodle 3.7 a 3.7.1, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões do Moodle 3.6 a 3.6.5, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões do Moodle 3.5 a 3.5.7, atualize para uma versão fora desse intervalo para mitigar o risco.
Para versões do Moodle anteriores à 3.5, atualize para a versão 3.5 ou posterior para mitigar o risco.
Como solução temporária, considere desativar o endpoint de inicialização móvel até que um patch esteja disponível.
Restrinja o acesso ao serviço móvel para minimizar o risco de exploração.
Correção
Open Redirect
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Moodle