Moodle 3.9.x < 3.9.19 の複数の脆弱性

high Web App Scanning プラグイン ID 113585

概要

Moodle 3.9.x < 3.9.19 の複数の脆弱性

説明

リモートホストにインストールされている Moodle のバージョンは、3.9.19 より前の 3.9.x、3.11.12 より前の 3.11.x、4.0.6 より前の 4.0.x、または 4.1.1 より前の 4.1.x です。そのため、以下の複数の脆弱性の影響を受けます。

- 一部の returnurl パラメーターがサニタイズされないことによる、クロスサイトスクリプティング (XSS) の脆弱性。(CVE-2023-23921)

- ブログ検索機能がサニタイズされないことによる、クロスサイトスクリプティング (XSS) の脆弱性。(CVE-2023-23922)

- ユーザーが他のユーザーの優先開始ページを設定することを可能にする、安全でない Direct Object Reference (IDOR) の脆弱性。(CVE-2023-23923)

注意: スキャナーはこの問題を悪用しようとしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

バージョン3.9.19以降にアップグレードしてください。

参考資料

https://moodle.org/mod/forum/discuss.php?d=443272#p1782021

https://moodle.org/mod/forum/discuss.php?d=443273#p1782022

https://moodle.org/mod/forum/discuss.php?d=443274#p1782023

プラグインの詳細

深刻度: High

ID: 113585

タイプ: remote

ファミリー: Component Vulnerability

公開日: 2023/2/20

更新日: 2023/3/14

スキャン テンプレート: basic, full, pci, scan

リスク情報

VPR

リスクファクター: Medium

スコア: 4.2

CVSS v2

リスクファクター: High

Base Score: 8.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:P/A:N

CVSS スコアのソース: CVE-2023-23923

CVSS v3

リスクファクター: High

Base Score: 8.2

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

CVSS スコアのソース: CVE-2023-23923

脆弱性情報

CPE: cpe:2.3:a:moodle:moodle:*:*:*:*:*:*:*:*

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2023/1/24

脆弱性公開日: 2023/1/24

参照情報

CVE: CVE-2023-23921, CVE-2023-23922, CVE-2023-23923