Katalog CVE

CVE-2025-60511

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 13 - wyżej niż 13% wszystkich znanych CVE

Streszczenie

Wtyczka Moodle OpenAI Chat Block w wersji 3.0.1 (2025021700) zawiera podatność IDOR z powodu niewystarczającej walidacji parametru blockId w /blocks/openai_chat/api/completion.php. Uwierzytelniony student może podszyć się pod blok innego użytkownika (np. administratora) i wysyłać zapytania wykonywane z konfiguracją tego bloku.

Ocena ryzyka

Ryzyko obejmuje ujawnienie wpisów Source of Truth dostępnych tylko dla administratora, zmianę zachowania modelu oraz potencjalne nadużycie zasobów API, co może prowadzić do wycieku danych i nieautoryzowanych działań.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę OpenAI Chat Block do najnowszej wersji, która usuwa tę podatność, oraz wdrożyć walidację uprawnień dla parametru blockId.

Oryginalny opis (angielski, źródło NVD)

Moodle OpenAI Chat Block plugin 3.0.1 (2025021700) suffers from an Insecure Direct Object Reference (IDOR) vulnerability due to insufficient validation of the blockId parameter in /blocks/openai_chat/api/completion.php. An authenticated student can impersonate another user's block (e.g., administrator) and send queries that are executed with that block's configuration. This can expose administrator-only Source of Truth entries, alter model behavior, and potentially misuse API resources.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS