ГлавнаяБаза уязвимостей БДУ → BDU:2022-07408
9.4критическая

BDU:2022-07408

Уязвимость системы управления курсами Moodle, связанная с недостаточной проверкой введенных пользователем данных в библиотеке поставщика LTI, позволяющая нарушителю выполнять SSRF-атаки
Опубликовано: 2022-12-24
Описание

Уязвимость системы управления курсами Moodle связана с недостаточной проверкой введенных пользователем данных в библиотеке поставщика LTI. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять SSRF-атаки

Затрагиваемое ПО и версии
Fedora (35)РЕД ОС (7.3)ОС ТД АИС ФССП России (ИК6)Fedora (36)Fedora (37)Moodle (от 3.9.0 до 3.9.18)Moodle (от 3.11.0 до 3.11.11)Moodle (от 4.0.0 до 4.0.5)
Способ устранения

Использование рекомендаций:
Для Moodle:
https://moodle.org/mod/forum/discuss.php?d=440772

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2DHYIIAUXUBHMBEDYU7TYNZXEN2W2SA2/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/74SXNGA5RIWM7QNX7H3G7SYIQLP4UUGV/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NLRJB5JNKK3VVBLV3NH3RI7COEDAXSAB/

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/update-security/document32368545/

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
https://moodle.org/mod/forum/discuss.php?d=440772https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2DHYIIAUXUBHMBEDYU7TYNZXEN2W2SA2/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/74SXNGA5RIWM7QNX7H3G7SYIQLP4UUGV/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NLRJB5JNKK3VVBLV3NH3RI7COEDAXSAB/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://goslinux.fssp.gov.ru/update-security/document32368545/
Проверьте безопасность своего сайта и почты → Полная проверка домена