Risque
- Atteinte à la confidentialité des données ;
- injection de code indirecte à distance ;
- injection de requêtes illégitime par rebond.
Systèmes affectés
- Moodle versions antérieures à 1.9.11 ;
- Moodle versions antérieures à 2.0.2.
Résumé
De multiples vulnérabilités dans Moodle permettent de réaliser diverses injections de code indirectes et de divulguer de l'information.
Description
De multiples vulnérabilités ont été découvertes dans Moodle. Elles permettent de réaliser des injections de code indirectes, de manipuler des flux RSS et d'obtenir diverses informations, notamment des éléments privés sur les utilisateurs.
Solution
Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletins de sécurité MSA-11-0002 à MSA-11-0011 du 01 mars 2011 :
http://moodle.org/mod/forum/discuss.php?d=170002
http://moodle.org/mod/forum/discuss.php?d=170003
http://moodle.org/mod/forum/discuss.php?d=170004
http://moodle.org/mod/forum/discuss.php?d=170005
http://moodle.org/mod/forum/discuss.php?d=170006
http://moodle.org/mod/forum/discuss.php?d=170008
http://moodle.org/mod/forum/discuss.php?d=170009
http://moodle.org/mod/forum/discuss.php?d=170010
http://moodle.org/mod/forum/discuss.php?d=170011
http://moodle.org/mod/forum/discuss.php?d=170012