漏洞详情
包管理器: composer
受影响包: moodle/moodle (Composer)
受影响版本
-
= 5.0.0-beta, < 5.0.3
-
= 4.5.0-beta, < 4.5.7
已修复版本
- 5.0.3
- 4.5.7
漏洞描述
Moodle在发送测验通知时未能正确验证用户注册状态,导致被暂停或停用的用户可能收到测验相关消息,造成有限课程信息泄露。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-62394
- https://access.redhat.com/security/cve/CVE-2025-62394
- https://bugzilla.redhat.com/show_bug.cgi?id=2404427
- moodle/moodle@022bfbf
- https://moodle.org/mod/forum/discuss.php?d=470383
安全评级
严重程度: 中等
CVSS综合评分: 4.3/10
CVSS v3基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 低
- 用户交互: 无
- 作用范围: 未改变
- 机密性影响: 低
- 完整性影响: 无
- 可用性影响: 无
CVSS向量: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
EPSS评分
- ** exploitation概率**: 0.025% (第6百分位)
弱点分类
弱点类型: CWE-863 不正确授权
描述: 当参与者尝试访问资源或执行操作时,产品执行授权检查但未正确执行,允许攻击者绕过预期的访问限制。
标识符
- CVE ID: CVE-2025-62394
- GHSA ID: GHSA-8fcv-4qp9-pg32
源代码
- moodle/moodle