Vulnérabilités dans le logiciel de plateforme d’apprentissage Moodle

CVE-2021-32472 [Score CVSS v3 : 3.8]

Les enseignants exportant un forum au format CSV pourraient, dans certaines circonstances, recevoir un CSV des forums de tous les cours.

CVE-2021-32473 [Score CVSS v3 : 3.8]

Il était possible pour un étudiant de consulter la note de son quiz avant qu'elle ne soit publiée, en utilisant un service web de quiz.

CVE-2021-32474 [Score CVSS v3 : 6.3]

Un risque d'injection SQL existait sur les sites avec le l’option MNet activé et configuré, via un appel XML-RPC depuis l'hôte pair connecté. Cette faille est exploitable par un attaquant distant et authentifié en tant qu’administrateur.

CVE-2021-32475 [Score CVSS v3 : 6.3]

Les numéros d'identification affichés dans le rapport de notation des quiz sont sensibles à un attaque de type XSS stocké.

CVE-2021-32476 [Score CVSS v3 : 6.5]

Un risque de déni de service a été identifié dans la zone des fichiers provisoires, car elle ne respecte pas les limites de téléchargement de fichiers par les utilisateurs.

CVE-2021-32477 [Score CVSS v3 : 4.6]

La dernière fois qu'un utilisateur a accédé à l'application mobile est affichée sur sa page de profil, mais doit être limitée aux utilisateurs disposant des capacités nécessaires (administrateurs du site par défaut).

CVE-2021-32478 [Score CVSS v3 : 5.8]

Une vulnérabilité de type XSS au niveau de l’URI de redirection dans le point de terminaison d'autorisation LTI a été corrigée.