一、 漏洞 CVE-2021-32478 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
LTI 授权端点中的重定向 URI 需要额外的清理以防止反射型 XSS 和开放重定向攻击。

## 影响版本
- Moodle 3.10 到 3.10.3
- Moodle 3.9 到 3.9.6
- Moodle 3.8 到 3.8.8
- 以及更早的不受支持的版本

## 细节
LTI 授权端点中的重定向 URI 未经过充分清理,导致可能的反射型 XSS 和开放重定向攻击。

## 影响
攻击者可以利用此漏洞插入恶意脚本或诱使用户访问恶意网站。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The redirect URI in the LTI authorization endpoint required extra sanitizing to prevent reflected XSS and open redirect risks. Moodle versions 3.10 to 3.10.3, 3.9 to 3.9.6, 3.8 to 3.8.8 and earlier unsupported versions are affected.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Moodle 输入验证错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Moodle是一套免费、开源的电子学习软件平台,也称课程管理系统、学习管理系统或虚拟学习环境。 Moodle 存在输入验证错误漏洞,该漏洞源于在LTI授权端点中对用户提供的数据的无害化处理不足。远程攻击者可利用该漏洞可以欺骗受害者,使其遵循一个专门制作的链接,并在脆弱网站的上下文中在用户的浏览器中执行任意HTML和脚本代码。以下产品及版本受到影响:Moodle: 3.8.0, 3.8.1, 3.8.2, 3.8.3, 3.8.4, 3.8.5, 3.8.6, 3.8.7, 3.8.8, 3.9.0, 3.
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
输入验证错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-32478 的公开POC
# POC 描述 源链接 神龙链接
1 Moodle 3.10 to 3.10.3, 3.9 to 3.9.6, 3.8 to 3.8.8, and earlier unsupported versions contain a cross-site scripting vulnerability via the redirect_uri parameter. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/vulnerabilities/moodle/moodle-xss.yaml POC详情
2 Moodle versions 3.10 to 3.10.3, 3.9 to 3.9.6, 3.8 to 3.8.8 contain a reflected XSS and open redirect caused by insufficient sanitization of the redirect URI in the LTI authorization endpoint, letting attackers execute scripts or redirect users maliciously, exploit requires crafted URL with malicious redirect URI. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2021/CVE-2021-32478.yaml POC详情
三、漏洞 CVE-2021-32478 的情报信息
四、漏洞 CVE-2021-32478 的评论

暂无评论

发表评论