AVIS CERTFR - 2022 - AVI - 776

AVIS CERT

CERT-FR

Publié le 29 août 2022 à 18h55

Objet : Multiples vulnérabilités dans Moodle

Référence : CERTFR-2022-AVI-776

Risque(s)

- Non spécifié par l'éditeur
- Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

- Moodle versions 4.x antérieures à 4.0.3
- Moodle versions 3.x antérieures à 3.11.9

Résumé

De multiples vulnérabilités ont été découvertes dans Moodle. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur et une injection de requêtes illégitimes par rebond (CSRF).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Moodle 437685 du 29 août 2022

https://moodle.org/mod/forum/discuss.php?d=437685

- Bulletin de sécurité Moodle 437684 du 29 août 2022

https://moodle.org/mod/forum/discuss.php?d=437684

- Référence CVE CVE-2022-2986

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2986

- Référence CVE CVE-2022-0323

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0323

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-776/