CVE-2025-60511
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 13 - wyżej niż 13% wszystkich znanych CVE
Streszczenie
Wtyczka Moodle OpenAI Chat Block w wersji 3.0.1 (2025021700) zawiera podatność IDOR z powodu niewystarczającej walidacji parametru blockId w /blocks/openai_chat/api/completion.php. Uwierzytelniony student może podszyć się pod blok innego użytkownika (np. administratora) i wysyłać zapytania wykonywane z konfiguracją tego bloku.
Ocena ryzyka
Ryzyko obejmuje ujawnienie wpisów Source of Truth dostępnych tylko dla administratora, zmianę zachowania modelu oraz potencjalne nadużycie zasobów API, co może prowadzić do wycieku danych i nieautoryzowanych działań.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę OpenAI Chat Block do najnowszej wersji, która usuwa tę podatność, oraz wdrożyć walidację uprawnień dla parametru blockId.
Oryginalny opis (angielski, źródło NVD)
Moodle OpenAI Chat Block plugin 3.0.1 (2025021700) suffers from an Insecure Direct Object Reference (IDOR) vulnerability due to insufficient validation of the blockId parameter in /blocks/openai_chat/api/completion.php. An authenticated student can impersonate another user's block (e.g., administrator) and send queries that are executed with that block's configuration. This can expose administrator-only Source of Truth entries, alter model behavior, and potentially misuse API resources.

