mdjnelson/moodle-mod_customcert — это плагин Moodle для создания динамически генерируемых сертификатов с полной настройкой через веб-браузер. До версий 4.4.9 и 5.0.3 преподаватель, у которого есть `mod/customcert:manage` в любом отдельном курсе, может читать и автоматически перезаписывать элементы сертификата, принадлежащие любому другому курсу в установке Moodle. Обратный вызов `core_get_fragment` `editelement` и веб-служба `mod_customcert_save_element` не могут проверить, принадлежит ли предоставленный `elementid` авторизованному контексту, что позволяет раскрыть межкурсовую информацию и подделать данные.
В версиях 4.4.9 и 5.0.3 проблема устранена.
Показать оригинальное описание (EN)
mdjnelson/moodle-mod_customcert is a Moodle plugin for creating dynamically generated certificates with complete customization via the web browser. Prior to versions 4.4.9 and 5.0.3, a teacher who holds `mod/customcert:manage` in any single course can read and silently overwrite certificate elements belonging to any other course in the Moodle installation. The `core_get_fragment` callback `editelement` and the `mod_customcert_save_element` web service both fail to verify that the supplied `elementid` belongs to the authorized context, enabling cross-course information disclosure and data tampering. Versions 4.4.9 and 5.0.3 fix the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1