Тип ошибки:
CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
Вектор уязвимости:
- Базовый вектор уязвимости (CVSSv3.1): CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H
- Уровень критичности уязвимости (CVSSv3.1): 8.4 (high)
- Базовый вектор уязвимости (CVSSv4.0): CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:A/VC:N/VI:H/VA:N/SC:H/SI:H/SA:H
- Уровень критичности уязвимости (CVSSv4.0): 8.3 (high)
Описание уязвимости:
В Moodle была выявлена проблема, затрагивающая версии 4.5; 4.4 - 4.4.4; 4.3 - 4.3.8.
Обнаруженная уязвимость, существующая из-за отсутствия фильтрации при редактировании курса, может быть использована злоумышленником для внедрения произвольного JavaScript кода в тело страницы.
Статус уязвимости: Подтверждена производителем
Дата исправления уязвимости: 09.12.2024
Рекомендации:
Обновление до версий 4.3.9, 4.4.5, 4.5.1 или выше
Прочая информация:
Исследователь: Андрей Алексеев (Positive Technologies)
Идентификаторы:
CVE-2024-55647
BDU:2024-11269
Вендор:
Moodle
Уязвимый продукт:
Moodle
Уязвимые версии:
4.5; 4.4 - 4.4.4; 4.3 - 4.3.8