Moodle 4.5.x < 4.5.5 の複数の脆弱性

critical Web App Scanning プラグイン ID 114892

概要

Moodle 4.5.x < 4.5.5 の複数の脆弱性

説明

自己報告され 4.5.x たバージョンによると、リモートホストでホストされている Moodle 4.4.x のインストールは 4.1.x 、 4.1.19より前の 、 より 4.4.9前の 、 5.x より 4.5.5前の 5.0.1、または より前の です。したがって、以下の複数の脆弱性による影響を受けます。

- 他のユーザーの最近アクセスしたコース情報をフェッチできるユーザーを制限するには、より厳格な機能チェックが必要でした。

- 承認確認が不十分なため、ユーザーはアクセス権限のない BigBlueButton の記録を表示できる可能性があります。

- バッジのバックパック管理における「移動上」および「移動下」のアクションに、CSRF リスクを回避するために必要なトークンが含まれていませんでした。

- 状態と機能のチェックが不十分なため、隠れたコース名、説明、教師などの詳細の一部が、アクセスする権限を持たないユーザーが利用できるようになりました。

- cURL リクエストの処理方法での DNS リバインドのリスクにより、SSRF リスクが発生する可能性があります。これは、cURL のブロックされたホスト/許可されたポートサイト構成がバイパスされる可能性があるためです。

- Upstream ADOdb ライブラリにおいて、pg_insert_id() メソッドに SQL インジェクションのリスクがありました。コア Moodle LMS はこの脆弱性の影響を受けませんでした。しかし、サードパーティコード/プラグインが脆弱なコードを使用する場合に備えて、リスクを完全に排除するためにこのライブラリはアップグレードされています。

- Web ブラウザがログインページでユーザーのパスワードをキャッシュするのを防ぐために、追加のキャッシュコントロールが必要でしたこれにアクセスするには、ユーザーがログインしたデバイスの Web ブラウザへのアクセスが必要です注意。

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Moodle バージョン 4.5.5 以降に更新してください。

参考資料

http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-79993

http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-83762

http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-84497

http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-84518

http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-84706

http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-85323

http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-85375

https://moodle.org/mod/forum/discuss.php?d=468501#p1880831

https://moodle.org/mod/forum/discuss.php?d=468502#p1880833

https://moodle.org/mod/forum/discuss.php?d=468503#p1880834

https://moodle.org/mod/forum/discuss.php?d=468504#p1880835

https://moodle.org/mod/forum/discuss.php?d=468505#p1880836

https://moodle.org/mod/forum/discuss.php?d=468506#p1880837

https://moodle.org/mod/forum/discuss.php?d=468507#p1880838

プラグインの詳細

深刻度: Critical

ID: 114892

タイプ: remote

ファミリー: Component Vulnerability

公開日: 2025/6/24

更新日: 2025/6/24

スキャン テンプレート: basic, full, pci, scan

リスク情報

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: High

基本値: 9.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:P

CVSS スコアのソース: CVE-2025-46337

CVSS v3

リスクファクター: Critical

基本値: 10

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L

CVSS スコアのソース: CVE-2025-46337

脆弱性情報

CPE: cpe:2.3:a:fedoraproject:fedora:*:*:*:*:*:*:*:*

エクスプロイトの容易さ: No known exploits are available

脆弱性公開日: 2025/4/30

参照情報

CVE: CVE-2025-46337, CVE-2025-49513, CVE-2025-49514, CVE-2025-49515, CVE-2025-49516, CVE-2025-49517, CVE-2025-49518