| Vulnerability Name: | CVE-2015-3272 (CCN-104544) | ||||||||||||||||||||||||||||||||||||||||||||
| Assigned: | 2015-07-13 | ||||||||||||||||||||||||||||||||||||||||||||
| Published: | 2015-07-13 | ||||||||||||||||||||||||||||||||||||||||||||
| Updated: | 2020-12-01 | ||||||||||||||||||||||||||||||||||||||||||||
| Summary: | Open redirect vulnerability in the clean_param function in lib/moodlelib.php in Moodle through 2.6.11, 2.7.x before 2.7.9, 2.8.x before 2.8.7, and 2.9.x before 2.9.1 allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via vectors involving an HTTP Referer header that has a substring match with a local URL. CWE-601: URL Redirection to Untrusted Site ('Open Redirect') | ||||||||||||||||||||||||||||||||||||||||||||
| CVSS v3 Severity: | 7.4 High (CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:H/A:N) 6.4 Medium (Temporal CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:H/A:N/E:U/RL:O/RC:C)
4.6 Medium (CCN Temporal CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C)
| ||||||||||||||||||||||||||||||||||||||||||||
| CVSS v2 Severity: | 5.8 Medium (CVSS v2 Vector: AV:N/AC:M/Au:N/C:P/I:P/A:N)
| ||||||||||||||||||||||||||||||||||||||||||||
| Vulnerability Type: | CWE-Other | ||||||||||||||||||||||||||||||||||||||||||||
| Vulnerability Consequences: | Gain Access | ||||||||||||||||||||||||||||||||||||||||||||
| References: | Source: MITRE Type: CNA CVE-2015-3272 Source: CONFIRM Type: UNKNOWN http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-50688 Source: MLIST Type: UNKNOWN [oss-security] 20150713 moodle security announcements Source: SECTRACK Type: UNKNOWN 1032877 Source: XF Type: UNKNOWN moodle-cve20153272-phishing(104544) Source: CONFIRM Type: Vendor Advisory https://moodle.org/mod/forum/discuss.php?d=316662 Source: CCN Type: Moodle Security Advisory MSA-15-0026 Possible phishing when redirecting to external site using referer header Source: CCN Type: WhiteSource Vulnerability Database CVE-2015-3272 | ||||||||||||||||||||||||||||||||||||||||||||
| Vulnerable Configuration: | Configuration 1: Configuration CCN 1:  Denotes that component is vulnerable | ||||||||||||||||||||||||||||||||||||||||||||
| Oval Definitions | |||||||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||||||
| BACK | |||||||||||||||||||||||||||||||||||||||||||||