Moodle, Script Insertion a XSS padělání žádostí

Byly nalezeny dvě zranitelnosti v Course Management Systému Moodle. Tyto mohou být zneužity k vedení Script Insertion útokům (nastrčení kódu) nebo Cross-site padělání žádostí. V prvním případě se jedná o vstup poskytovaný parametru „etitle” v souboru „blog/edit.php”, který není řádně ošetřen před uložením. To může umožňovat nastrčení libovolného HTML kódu nebo skriptu. Ten je pak spuštěn při prohlížení tohoto obsahu uživatelem. Druhá zranitelnost je zaviněna aplikací dovolující uživatelům provádět určité akce přes HTTP žádosti bez ověření jejich správnosti a původu, což může dovolit například změnu administrátorova e-mailu - což může být dále zneužito k zjištění jeho hesla. Obě zranitelnosti jsou opraveny ve verzích 1.6.7 a 1.7.5. Více na serveru Secunia.