CVE-2025-34031

Nome do Software Vulnerável e Versões Afetadas: Plugin Jmol do Moodle LMS versões 6.1 e anteriores

Descrição: Existe uma vulnerabilidade de path traversal no plugin Jmol do Moodle LMS através do parâmetro de query em jsmol.php. O script passa diretamente a entrada do usuário para a função file get contents() sem a devida validação, permitindo que atacantes leiam arquivos arbitrários do sistema de arquivos do servidor ao criar um valor de query malicioso. Esta questão pode ser explorada sem autenticação e pode expor dados sensíveis de configuração, incluindo credenciais de banco de dados.

Recomendações: Para as versões 6.1 e anteriores do plugin Jmol do Moodle LMS, como uma solução temporária, considere desabilitar a função file get contents() ou restringir o acesso ao arquivo jsmol.php até que um patch esteja disponível. Evite utilizar o parâmetro de query no arquivo jsmol.php até que a questão seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.