Zpětná vazba k reportu

Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečnému ošetření vstupu v nedokumentovaném příkazu nástroje MimeTeX umožněno spustit kód na serveru využívajícím tento nástroj skrze TeX Notation filtr. Podpora MimeTex v rámci Moodle LMS bude kvůli narůstajícímu bezpečnostnímu riziku spojenému s tímto nástrojem v blízké budoucnosti zrušena. Není-li možná okamžitá aktualizace na opravenou verzi, je doporučeno TeX Notation filtr zakázat. Další detaily ke zranitelnosti naleznete na [2].

Zranitelnost se nachází v produktu Moodle ve verzích (>=4.1.0 AND <4.1.18) OR (>=4.3.0 AND <4.3.12) OR (>=4.4.0 AND <4.4.8) OR (>=4.5.0 AND <4.5.4).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Více informací:

• CVE-2024-40446 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-94: Improper Control of Generation of Code ('Code Injection') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 22. 4. 2025.

Autentizovanému vzdálenému útočníkovi s právy učitele nebo manažera je kvůli zranitelnosti v pluginu Dropbox repository umožněno spustit kód na serveru. Není-li možná okamžitá aktualizace na opravenou verzi, je doporučeno zakázat Dropbox repository přes Site Administration -> Plugins -> Repositories -> Manage repositories [3].

Zranitelnost se nachází v produktu Moodle ve verzích (>=4.1.0 AND <4.1.18) OR (>=4.3.0 AND <4.3.12) OR (>=4.4.0 AND <4.4.8) OR (>=4.5.0 AND <4.5.4).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Více informací:

• CVE-2025-3641 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-94: Improper Control of Generation of Code ('Code Injection') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 22. 4. 2025.

Autentizovanému vzdálenému útočníkovi s právy učitele nebo manažera je kvůli zranitelnosti v pluginu EQUELLA repository umožněno spustit kód na serveru. Není-li možná okamžitá aktualizace na opravenou verzi, je doporučeno zakázat EQUELLA repository přes Site Administration -> Plugins -> Repositories -> Manage repositories [4].

Zranitelnost se nachází v produktu Moodle ve verzích (>=4.1.0 AND <4.1.18) OR (>=4.3.0 AND <4.3.12) OR (>=4.4.0 AND <4.4.8) OR (>=4.5.0 AND <4.5.4).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Více informací:

• CVE-2025-3642 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-94: Improper Control of Generation of Code ('Code Injection') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 22. 4. 2025.

Autentizovanému vzdálenému útočníkovi je umožněno vykonat útok DoS na přihlášení jiného uživatele v rámci vícefaktorového ověření (MFA) a zobrazit jeho jméno. Služba se stane nedostupnou v případě, kdy uživatel využívá jako druhý faktor pro ověření pouze e-mail [5].

Zranitelnost se nachází v produktu Moodle ve verzích (>=4.3.0 AND <4.3.12) OR (>=4.4.0 AND <4.4.8) OR (>=4.5.0 AND <4.5.4).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:H

Více informací:

• CVE-2025-3625 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-639: Authorization Bypass Through User-Controlled Key at cwe.mitre.org

Zranitelnost byla veřejně oznámena 22. 4. 2025.

Neautentizovanému vzdálenému útočníkovi je pomocí sociálního inženýrství umožněno vykonat útok reflected XSS [6].

Zranitelnost se nachází v produktu Moodle ve verzích (>=4.1.0 AND <4.1.18) OR (>=4.3.0 AND <4.3.12) OR (>=4.4.0 AND <4.4.8) OR (>=4.5.0 AND <4.5.4).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Více informací:

• CVE-2025-3643 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 22. 4. 2025.