Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-03179: Уязвимость реализации конфигурации moodle/badges:configurecriteria виртуальной обучающей среды Moodle, позволяющая нарушителю выполнить произвольный SQL-код

Описание уязвимости	Уязвимость реализации конфигурации moodle/badges:configurecriteria виртуальной обучающей среды Moodle связана с непринятием мер по нейтрализации специальных элементов, используемых в SQL-запросах. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный SQL-код путем отправки специально созданного запроса
Вендор	Fedora Project, ООО «Ред Софт», ФССП России, Мартин Дугамас
Наименование ПО	Fedora, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Мoodle
Версия ПО	34 (Fedora) 35 (Fedora) 7.3 (РЕД ОС) ИК6 (ОС ТД АИС ФССП России) 36 (Fedora) от 4.0.0 до 4.0.1 (Мoodle) от 3.11.0 до 3.11.7 (Мoodle) от 3.10.0 до 3.10.11 (Мoodle) до 3.9.14 (Мoodle)
Тип ПО	Операционная система, Сетевое программное средство
Операционные системы и аппаратные платформы	Fedora Project Fedora 34 Fedora Project Fedora 35 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ФССП России ОС ТД АИС ФССП России ИК6 Fedora Project Fedora 36
Тип ошибки	Непринятие мер по защите структуры запроса SQL (атаки типа \"внедрение SQL\")
Идентификатор типа ошибки	CWE-89
Класс уязвимости	Уязвимость кода
Дата выявления	31.03.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Moodle: https://git.moodle.org/gw?p=moodle.git;a=commit;h=a0f47c8bc4d6f5971025de7d63f22475701d2f86 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Дя Fedora: https://bodhi.fedoraproject.org/updates/FEDORA-2022-bd4457bcc4 https://bodhi.fedoraproject.org/updates/FEDORA-2022-530fdc5202 https://bodhi.fedoraproject.org/updates/FEDORA-2022-89bfefbe48 Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Организационные меры: Рекомендуется не использовать конфигурацию moodle/badges:configurecriteria (данная конфигурация дает возможность устанавливать/редактировать критерии получения значков, которые отображают достижения пользователя) для пользователей, чтобы они не могли получить доступ к затронутым функциям.
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Инъекция
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-74333 https://bugzilla.redhat.com/show_bug.cgi?id=2083610 https://moodle.org/mod/forum/discuss.php?d=434581 https://redos.red-soft.ru/support/secure/ https://nvd.nist.gov/vuln/detail/CVE-2022-30599 https://git.moodle.org/gw?p=moodle.git;a=commit;h=a0f47c8bc4d6f5971025de7d63f22475701d2f86 https://bugzilla.redhat.com/show_bug.cgi?id=2083610 https://bodhi.fedoraproject.org/updates/FEDORA-2022-bd4457bcc4 https://bodhi.fedoraproject.org/updates/FEDORA-2022-530fdc5202 https://bodhi.fedoraproject.org/updates/FEDORA-2022-89bfefbe48 https://bugzilla.redhat.com/show_bug.cgi?id=2087634 https://goslinux.fssp.gov.ru/2726972/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-30599
Прочая информация	Данные уточняются

Последние изменения