Moodle opravuje 10 zranitelností

Připadá Vám tento report dobře zpracovaný? *

Ano

Ne

Používáte tuto technologii? *

Ano

Ne

Byl pro Vás tento report užitečný?

Ano

Ne

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] Moodle opravuje 10 zranitelností

Moodle verzemi 5.0.3, 4.5.7, 4.4.11 a 4.1.21 opravuje 10 zranitelností. Nejzávažnější z nich jsou popsány níže, zbytek naleznete na [1].

Moodle - MFA bypass (CVE-2025-62398)

Autentizovanému vzdálenému útočníkovi s platnými přihlašovacími údaji je za určitých podmínek umožněno obejít vícefaktorové ověřování, což mohlo vést ke kompromitaci uživatelských účtů [2].

Zranitelnost se nachází v produktu Moodle ve verzích (>=5.0 AND <=5.0.2) OR (>=4.5 AND <=4.5.6) OR (>=4.4 AND <=4.4.10).

Více informací:

CVE-2025-62398 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE

Zranitelnost byla veřejně oznámena 14. 10. 2025.

Moodle - DoS (CVE-2025-54869)

Autentizovanému vzdálenému útočníkovi je prostřednictvím nahrání škodlivého PDF souboru umožněno vykonat DoS útok [3].

Zranitelnost se nachází v produktu Moodle ve verzích (>=5.0 AND <=5.0.2) OR (>=4.5 AND <=4.5.6) OR (>=4.4 AND <=4.4.10) OR (>=4.1 AND <=4.1.20).

Více informací:

CVE-2025-54869 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE

Zranitelnost byla veřejně oznámena 14. 10. 2025.

Moodle - password bruteforce (CVE-2025-62399)

Vzdálenému útočníkovi je při povoleném mobilním klientovi a auth_webservice umožněno hrubou silou hádat hesla k jiným uživatelským účtům [4].

Zranitelnost se nachází v produktu Moodle ve verzích (>=5.0 AND <=5.0.2) OR (>=4.5 AND <=4.5.6) OR (>=4.4 AND <=4.4.10) OR (>=4.1 AND <=4.1.20).

Více informací:

CVE-2025-62399 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE

Zranitelnost byla veřejně oznámena 14. 10. 2025.

Moodle - privacy exposure (CVE-2025-62400)

Autentizovanému vzdálenému útočníkovi s oprávněním vytvářet skupinové události, ale bez oprávnění zobrazovat skryté skupiny je kvůli nedostatečné kontrole oprávnění umožněno zobrazit skryté a oddělené skupiny ve výběru pro kalendářové události [5].

Zranitelnost se nachází v produktu Moodle ve verzích (>=5.0 AND <=5.0.2) OR (>=4.5 AND <=4.5.6) OR (>=4.4 AND <=4.4.10) OR (>=4.1 AND <=4.1.20).

Více informací:

CVE-2025-62400 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE

Zranitelnost byla veřejně oznámena 14. 10. 2025.

Moodle - misconfigured headers (CVE-2025-62396)

Neautentizovanému vzdálenému útočníkovi je kvůli nesprávnému zpracování chyb v routovacím systému, pokud není nakonfigurována hlavička Accept: text/html, umožněno zobrazit adresářovou strukturu aplikace [6].

Zranitelnost se nachází v produktu Moodle ve verzích (>=5.0 AND <=5.0.2) OR (>=4.5 AND <=4.5.6).

Více informací:

CVE-2025-62396 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE

Zranitelnost byla veřejně oznámena 14. 10. 2025.

Odkazy

Za CESNET-CERTS Michaela Jarošová dne 22. 10. 2025.