LOWCVE-2025-3635CVSS 3.5

Moodle में यूजर टूर्स मैनेजर में एक CSRF जोखिम है जो टूर डुप्लीकेशन की अनुमति देता है

प्लेटफ़ॉर्म

php

घटक

moodle/moodle

में ठीक किया गया

4.5.4

4.4.8

4.3.12

4.1.18

AI Confidence: highNVDEPSS 0.1%समीक्षित: मई 2026

NVD पर देखें

सहेजें

CVE-2025-3635 Moodle में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है। यह भेद्यता हमलावरों को बिना लॉग इन किए मौजूदा टूर को डुप्लिकेट करने की अनुमति देती है। यह भेद्यता Moodle के संस्करणों 4.1.9 और उससे पहले को प्रभावित करती है। Moodle 4.1.18 में इस समस्या का समाधान किया गया है।

प्रभाव और हमले की स्थितियाँ

यह CSRF भेद्यता हमलावरों के लिए Moodle इंस्टेंस पर अनधिकृत क्रियाएं करने का मार्ग खोलती है। हमलावर मौजूदा टूर को डुप्लिकेट करके, वे डेटा को दूषित कर सकते हैं, अनपेक्षित परिवर्तन कर सकते हैं, या सिस्टम के व्यवहार को बदल सकते हैं। चूंकि हमलावर को लॉग इन करने की आवश्यकता नहीं है, इसलिए यह भेद्यता उन उपयोगकर्ताओं के लिए विशेष रूप से खतरनाक है जिनके पास Moodle इंस्टेंस तक पहुंच है। इस भेद्यता का उपयोग करके, हमलावर संवेदनशील जानकारी तक पहुंच प्राप्त कर सकते हैं या सिस्टम को नुकसान पहुंचा सकते हैं।

शोषण संदर्भ

CVE-2025-3635 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है। यह भेद्यता सार्वजनिक रूप से 2025-04-25 को प्रकाशित हुई थी। KEV (Know Exploited Vulnerabilities) सूची में इसकी स्थिति अभी तक निर्धारित नहीं की गई है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद नहीं हैं।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात

CISA KEVNO

इंटरनेट एक्सपोज़रउच्च

EPSS

0.12% (31% शतमक)

CISA SSVC

शोषणnone

स्वचालनीयno

तकनीकी प्रभावpartial

CVSS वेक्टर

प्रभावित सॉफ्टवेयर

घटकmoodle/moodle

विक्रेताosv

प्रभावित श्रेणीमें ठीक किया गया

4.5.0 – 4.5.44.5.4

4.4.0 – 4.4.84.4.8

4.3.0 – 4.3.124.3.12

4.1.0 – 4.1.184.1.18

—4.1.18

कमजोरी वर्गीकरण (CWE)

CWE-352

समयरेखा

आरक्षित2025-04-15
प्रकाशित2025-04-25
संशोधित2026-01-26
EPSS अद्यतन2026-03-23

प्रकाशन के -12 दिन बाद पैच

शमन और वर्कअराउंड

CVE-2025-3635 को कम करने के लिए, Moodle को संस्करण 4.1.18 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपग्रेड संभव नहीं है, तो CSRF टोकन को लागू करने के लिए कस्टम कोड विकसित करने पर विचार करें जो टूर डुप्लीकेशन फ़ंक्शन की सुरक्षा करेगा। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग CSRF हमलों को ब्लॉक करने के लिए किया जा सकता है, लेकिन यह एक पूर्ण समाधान नहीं है।

कैसे ठीक करें

Moodle को नवीनतम उपलब्ध संस्करण में अपडेट करें। संस्करण 4.5.4, 4.4.8, 4.3.12 और 4.1.18 CSRF भेद्यता को ठीक करते हैं जो अनधिकृत टूर डुप्लीकेशन की अनुमति देता है। अपडेट इस भेद्यता के शोषण को रोकता है।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2025-3635 — CSRF Moodle में क्या है?

CVE-2025-3635 Moodle में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है जो हमलावरों को बिना लॉग इन किए मौजूदा टूर को डुप्लिकेट करने की अनुमति देती है।

क्या मैं CVE-2025-3635 से Moodle में प्रभावित हूं?

यदि आप Moodle के संस्करण 4.1.9 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं Moodle में CVE-2025-3635 को कैसे ठीक करूं?

CVE-2025-3635 को ठीक करने के लिए, Moodle को संस्करण 4.1.18 या बाद के संस्करण में तुरंत अपडेट करें।

क्या CVE-2025-3635 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2025-3635 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन यह संभावित रूप से खतरनाक है।

CVE-2025-3635 के लिए आधिकारिक Moodle सलाहकार कहां मिल सकता है?

आप आधिकारिक Moodle सलाहकार को Moodle की वेबसाइट पर पा सकते हैं: [Moodle Security Advisory URL - Placeholder]