CVE-2022-30597
CVE-2022-30597
En resumen
Moodle no ocultaba correctamente el campo de descripción del usuario incluso cuando se configuraba como oculto. Esto permitía que información sensible en las descripciones de usuarios fuera visible para personas no autorizadas.
Detalle técnico
La vulnerabilidad existe en el mecanismo de control de visibilidad de campos de usuario de Moodle (CWE-472: Type Confusion). Cuando el campo de descripción se marca como oculto en la configuración del sistema, el control de acceso no se aplica correctamente, permitiendo la divulgación no autorizada de datos de descripción del usuario. Esto afecta la confidencialidad de la información del usuario a pesar de las restricciones administrativas.
Resumen generado y traducido por IA a partir de la descripción oficial.
A flaw was found in moodle where the description user field was not hidden when being set as a hidden user field.
Productos afectados
n/a · moodle¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-74318https://bugzilla.redhat.com/show_bug.cgi?id=2083585https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/OGF35EN5K2R6X3NTY3XPZSJ3UDASMXI6/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/PIMSIRKCFLIC646K4GMUSZU7THOUVPAJ/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/QCTWSE3JDMSYL7DPCMXMMJEXZSS6VIA5/https://moodle.org/mod/forum/discuss.php?d=434579