Moodle时间限制绕过漏洞分析

漏洞概述

CVE-2025-62401 是Moodle学习管理系统中的一个中等严重性漏洞，该漏洞存在于Moodle的定时作业功能中，允许学生绕过时间限制，可能获得比允许时间更多的评估完成时间。

受影响版本

• = 5.0.0-beta, < 5.0.3

• = 4.5.0-beta, < 4.5.7

• = 4.2.0-beta, < 4.4.11

• < 4.1.21

修复版本

• 5.0.3
• 4.5.7
• 4.4.11
• 4.1.21

技术细节

漏洞类型

CWE-285: 不正确的授权 该产品在参与者尝试访问资源或执行操作时，未执行或错误执行了授权检查。

CVSS v3.1评分

5.4分 - 中等严重性

基础指标

• 攻击向量(Attack Vector): 网络(Network)
• 攻击复杂度(Attack Complexity): 低(Low)
• 所需权限(Privileges Required): 低(Low)
• 用户交互(User Interaction): 无(None)
• 范围(Scope): 未改变(Unchanged)
• 机密性影响(Confidentiality): 无(None)
• 完整性影响(Integrity): 低(Low)
• 可用性影响(Availability): 低(Low)

EPSS评分

0.036% - 该漏洞在未来30天内被利用的概率估计值

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-62401
• https://access.redhat.com/security/cve/CVE-2025-62401
• https://bugzilla.redhat.com/show_bug.cgi?id=2404434
• moodle/moodle@78a3fe6
• https://moodle.org/mod/forum/discuss.php?d=470390

时间线

• 国家漏洞数据库发布: 2025年10月23日
• GitHub咨询数据库发布: 2025年10月23日
• 审核时间: 2025年10月24日
• 最后更新: 2025年10月24日