CVE-2025-60506

Nome do Software Vulnerável e Versões Afetadas Plugin Moodle PDF Annotator versão 1.5, release 9

Descrição O plugin Moodle PDF Annotator contém uma falha que permite cross-site scripting (XSS) armazenado por meio do recurso de Comentários Públicos. Um atacante com uma conta de baixo privilégio, como um Aluno, pode injetar payloads arbitrários de JavaScript em um comentário. Quando outro usuário—incluindo Alunos, Professores ou Administradores—visualiza o PDF anotado, o payload injetado é executado em seu navegador. Isso pode resultar em sequestro de sessão ou roubo de credenciais. O recurso vulnerável permite a injeção de código malicioso por meio da funcionalidade Comentários Públicos.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.