Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Injection de code indirecte à distance
Systèmes affectés
- Moodle version 2.2 à 2.2.7
- Moodle version 2.3 à 2.3.4
- Moodle version 2.4 à 2.4.1
Résumé
De multiples vulnérabilités ont été corrigées dans Moodle. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Moodle du 25 mars 2013 https://moodle.org/mod/forum/discuss.php?d=225348
- Référence CVE CVE-2012-3363 https://www.cve.org/CVERecord?id=CVE-2012-3363
- Référence CVE CVE-2013-1830 https://www.cve.org/CVERecord?id=CVE-2013-1830
- Référence CVE CVE-2013-1831 https://www.cve.org/CVERecord?id=CVE-2013-1831
- Référence CVE CVE-2013-1833 https://www.cve.org/CVERecord?id=CVE-2013-1833
- Référence CVE CVE-2013-1835 https://www.cve.org/CVERecord?id=CVE-2013-1835
- Référence CVE CVE-2013-1836 https://www.cve.org/CVERecord?id=CVE-2013-1836