Межсайтовый скриптинг в Moodle
Уязвимое программное обеспечение
Moodle:
- 4.3.0 - 4.5.1
Последствия эксплуатации
XSS\CSS: Межсайтовый скриптинг
Common Vulnerability Scoring System
Рейтинг: ВЫСОКИЙ
Оценка: 8.3
Вектор: AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
Вектор атаки: Сетевой
Сложность атаки: Высокая
Требуемые привилегии: Нет
Границы эксплуатации: Измененный
Влияние на Конфиденциальность: Высокая
Влияние на Целостность: Высокая
Влияние на Доступность: Высокая
Метод эксплуатации
Открытие пользователем специально созданной вредоносной ссылки.
Взаимодействие с пользователем: Требуется
Уменьшение последствий
Данная уязвимость устраняется официальным патчем вендора. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Наличие обновления: Есть
Common Weakness Enumeration
CWE: 79
Описание: Некорректная нейтрализация входных данных при генерировании веб-страниц (межсайтовое выполнение сценариев)
Ссылки
- http://moodle.org/mod/forum/discuss.php?d=466146
- http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-84146
- http://github.com/advisories/GHSA-4w32-c9g7-27qx
Очень серьёзная дыра в популярной системе для обучения, через неё можно украсть данные или взять под контроль аккаунт, просто перейдя по плохой ссылке. Хорошо, что разработчики уже выпустили заплатку для её закрытия. Но совет про "оценку рисков" из-за санкций выглядит странно - безопасность важнее, и патч лучше ставить.
Это типовая рекомендация, при текущей ситуации. Необходимо учитывать риски, что обновление может содержать закладки или как-то повлиять на работу ПО в России.