Moodle易受暴力破解密码攻击 · CVE-2025-62399
漏洞详情
包管理器: Composer
受影响包: moodle/moodle (Composer)
受影响版本
-
= 5.0.0-beta, < 5.0.3
-
= 4.5.0-beta, < 4.5.7
-
= 4.2.0-beta, < 4.4.11
- < 4.1.21
已修复版本
- 5.0.3
- 4.5.7
- 4.4.11
- 4.1.21
漏洞描述
Moodle的移动端和Web服务身份验证端点未能充分限制重复密码尝试,使其容易受到暴力破解攻击。
严重程度
高危
CVSS总体评分:7.5/10
CVSS v3基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 范围: 未改变
- 机密性: 无影响
- 完整性: 无影响
- 可用性: 高影响
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
弱点分析
弱点: CWE-307
描述: 不当限制过多的身份验证尝试 - 产品未实施足够的措施来防止在短时间内多次失败的身份验证尝试,使其更容易受到暴力破解攻击。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-62399
- https://access.redhat.com/security/cve/CVE-2025-62399
- https://bugzilla.redhat.com/show_bug.cgi?id=2404432
- moodle/moodle@e4d0256
- https://moodle.org/mod/forum/discuss.php?d=470388
元数据
- CVE ID: CVE-2025-62399
- GHSA ID: GHSA-m58f-9pvv-8mp2
- 源代码: moodle/moodle
- 国家漏洞数据库发布时间: 2025年10月23日
- GitHub咨询数据库发布时间: 2025年10月23日
- 审核时间: 2025年10月24日
- 最后更新时间: 2025年10月24日