Moodle错误处理漏洞导致敏感信息泄露

Moodle错误处理漏洞导致敏感信息泄露

本文详细分析了Moodle路由器(r.php)中的错误处理漏洞CVE-2025-62396，该漏洞在特定HTTP头未正确配置时会导致内部目录列表泄露，可能暴露敏感信息。漏洞影响Moodle 4.5.0至4.5.6和5.0.0至5.0.2版本。

漏洞详情

漏洞描述

Moodle路由器(r.php)中的错误处理问题可能导致应用程序在特定HTTP头未正确配置时显示内部目录列表。

受影响版本

= 5.0.0-beta, < 5.0.3
= 4.5.0-beta, < 4.5.7

已修复版本

5.0.3
4.5.7

技术信息

严重程度

中等严重程度
CVSS评分：5.3/10

CVSS v3基础指标

攻击向量：网络
攻击复杂度：低
所需权限：无
用户交互：无
范围：未改变
机密性：低
完整性：无
可用性：无

弱点分类

CWE-548：通过目录列表暴露信息
不适当的目录列表暴露可能向攻击者泄露潜在敏感信息

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2025-62396
https://access.redhat.com/security/cve/CVE-2025-62396
https://bugzilla.redhat.com/show_bug.cgi?id=2404429
moodle/moodle@5d49105
moodle/moodle@5e7d5ab
https://moodle.org/mod/forum/discuss.php?d=470385

时间线

国家漏洞数据库发布日期：2025年10月23日
GitHub咨询数据库发布日期：2025年10月23日
审核日期：2025年10月24日
最后更新日期：2025年10月24日

comments powered by Disqus