Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Injection de code indirecte à distance
Systèmes affectés
- Moodle versions antérieures à 2.3.10
- Moodle versions antérieures à 2.4.7
- Moodle versions antérieures à 2.5.3
- Moodle versions antérieures à 2.6
Résumé
De multiples vulnérabilités ont été corrigées dans Moodle. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Moodle MSA-13-0036 du 25 novembre 2013 https://moodle.org/mod/forum/discuss.php?d=244479
- Bulletin de sécurité Moodle MSA-13-0037 du 25 novembre 2013 https://moodle.org/mod/forum/discuss.php?d=244480
- Bulletin de sécurité Moodle MSA-13-0038 du 25 novembre 2013 https://moodle.org/mod/forum/discuss.php?d=244481
- Bulletin de sécurité Moodle MSA-13-0039 du 25 novembre 2013 https://moodle.org/mod/forum/discuss.php?d=244482
- Bulletin de sécurité Moodle MSA-13-0040 du 25 novembre 2013 https://moodle.org/mod/forum/discuss.php?d=244483
- Référence CVE CVE-2013-4522 https://www.cve.org/CVERecord?id=CVE-2013-4522
- Référence CVE CVE-2013-4523 https://www.cve.org/CVERecord?id=CVE-2013-4523
- Référence CVE CVE-2013-4524 https://www.cve.org/CVERecord?id=CVE-2013-4524
- Référence CVE CVE-2013-4525 https://www.cve.org/CVERecord?id=CVE-2013-4525
- Référence CVE CVE-2013-6780 https://www.cve.org/CVERecord?id=CVE-2013-6780