CVE-2020-25703

EPSS 1.5%CWE-201

En resumen

Moodle estaba exponiendo las direcciones de correo de los usuarios al descargar la tabla de participantes, incluso cuando esos correos deberían haber estado ocultos. Esto filtraba información de contacto privada que los administradores querían mantener confidencial.

Detalle técnico

Vulnerabilidad CWE-201 de exposición de información en la función de descarga de la tabla de participantes de Moodle. La aplicación no respetaba las configuraciones de privacidad del usuario e incluía sistemáticamente direcciones de correo en las descargas independientemente de la configuración de visibilidad del correo. Afecta a las versiones 3.7–3.9.2; requiere acceso autenticado a las exportaciones de participantes del curso.

Resumen generado y traducido por IA a partir de la descripción oficial.

The participants table download in Moodle always included user emails, but should have only done so when users' emails are not hidden. Versions affected: 3.9 to 3.9.2, 3.8 to 3.8.5 and 3.7 to 3.7.8. This is fixed in moodle 3.9.3, 3.8.6, 3.7.9, and 3.10.

Productos afectados

n/a · moodle

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://bugzilla.redhat.com/show_bug.cgi?id=1895439 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/4NNFCHPPHRJNJROIX6SYMHOC6HMKP3GU/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/B55KXBVAT45MDASJ3EK6VIGQOYGJ4NH6/https://moodle.org/mod/forum/discuss.php?d=413941