Autentizovanému vzdialenému útočníkovi je umožnené obísť kontrolu prístupu k online konferenciám BigBlueButton [1].

Zraniteľnosť sa nachádza v produkte Moodle vo verziách (>=4.1 AND <4.1.11) OR (>=4.2 AND <4.2.8) OR (>=4.3 AND <4.3.5) OR (>=4.4 AND <4.4.1).

Viac informácií:

• CVE-2024-38273 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-284: Improper Access Control at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 19. 6. 2024.

Autentizovanému vzdialenému útočníkovi je umožnené vykonať XSS útok vložením špeciálne vytvorenej udalosti do kalendára [2].

Zraniteľnosť sa nachádza v produkte Moodle vo verziách (>=4.1 AND <4.1.11) OR (>=4.2 AND <4.2.8) OR (>=4.3 AND <4.3.5) OR (>=4.4 AND <4.4.1).

Viac informácií:

• CVE-2024-38274 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 19. 6. 2024.

Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene pristupovať k autorizačným informáciám z HTTP hlavičiek pri preposielaní požiadaviek [3].

Zraniteľnosť sa nachádza v produkte Moodle vo verziách (>=4.1 AND <4.1.11) OR (>=4.2 AND <4.2.8) OR (>=4.3 AND <4.3.5) OR (>=4.4 AND <4.4.1).

Viac informácií:

• CVE-2024-38275 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-200: Exposure of Sensitive Information to an Unauthorized Actor at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 19. 6. 2024.

Autentizovanému vzdialenému útočníkovi je umožnené na viacerých miestach vykonať CSRF útok [4].

Zraniteľnosť sa nachádza v produkte Moodle vo verziách (>=4.1 AND <4.1.11) OR (>=4.2 AND <4.2.8) OR (>=4.3 AND <4.3.5) OR (>=4.4 AND <4.4.1).

Viac informácií:

• CVE-2024-38276 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-352: Cross-Site Request Forgery (CSRF) at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 19. 6. 2024.