🕵️ Moodle bis 2.6.11/2.7.10/2.8.8/2.9.2 moodle/badges:viewbadges Information Disclosure

🕛 Zeit seit Veröffentlichung: 3367 Tage, 11 Stunden 22 Minuten
📆 Veröffentlicht am: 22.02.2016 um 01:00 Uhr
Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: scip.ch

Allgemein

scipID: 81060
Betroffen: Moodle bis 2.6.11/2.7.10/2.8.8/2.9.2
Veröffentlicht: 22.02.2016
Risiko: problematisch

Erstellt: 23.02.2016
Eintrag: 66.8% komplett

Beschreibung

Es wurde eine problematische Schwachstelle in Moodle bis 2.6.11/2.7.10/2.8.8/2.9.2 ausgemacht. Es betrifft eine unbekannte Funktion der Datei moodle/badges:viewbadges. Dank Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Mit Auswirkungen muss man rechnen für die Vertraulichkeit. CVE fasst zusammen:

Moodle through 2.6.11, 2.7.x before 2.7.11, 2.8.x before 2.8.9, and 2.9.x before 2.9.3 does not consider the moodle/badges:viewbadges capability, which allows remote authenticated users to obtain sensitive badge information via a request involving (1) badges/overview.php or (2) badges/view.php.

Die Schwachstelle wurde am 22.02.2016 publik gemacht. Die Verwundbarkeit wird unter CVE-2015-5340 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.

Ein Upgrade auf die Version 2.7.10, 2.8.9 oder 2.9.3 vermag dieses Problem zu beheben. Schwachstellen ähnlicher Art sind dokumentiert unter 81056, 81057, 81058 und 81059.

CVSS

Base Score: 3.5 (CVSS2#AV:N/AC:M/Au:S/C:P/I:N/A:N) [?]
Temp Score: 3.0 (CVSS2#E:ND/RL:OF/RC:ND) [?]

CPE

• cpe:/a:moodle:moodle:2.6.11
• cpe:/a:moodle:moodle:2.7.10
• cpe:/a:moodle:moodle:2.8.8
• cpe:/a:moodle:moodle:2.9.2

Exploiting

Klasse: Information Disclosure
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $1k-$2k (0-day) / $0-$1k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Upgrade: Moodle 2.7.10/2.8.9/2.9.3

Timeline

22.02.2016 | Advisory veröffentlicht
23.02.2016 | VulDB Eintrag erstellt
23.02.2016 | VulDB Eintrag aktualisiert

Quellen

CVE: CVE-2015-5340 (mitre.org) (nvd.nist.org) (cvedetails.com)

Siehe auch: 81056, 81057, 81058, 81059, 81061, 81062, 81063 , 81064

...