CVE-2025-62394CVE-2025-62394是Moodle平台中的一个中等严重性安全漏洞,CVSS评分4.3。该漏洞源于Moodle在学习测验通知发送时未能正确验证用户的注册状态。具体而言,当系统向用户发送测验相关通知消息时,未能充分检查用户账户是否处于暂停(suspended)或非活跃(inactive)状态。因此,即使是被暂停或已停用的用户账户,仍可能接收到包含课程信息的测验通知消息,从而导致有限的课程信息被泄露。此漏洞主要影响系统的访问控制机制,使得本应被限制访问的用户能够通过通知渠道获取敏感信息。虽然泄露的信息范围有限,但仍然违反了安全边界原则,可能被攻击者利用进行进一步的信息收集或社会工程学攻击。
该漏洞属于访问控制验证缺陷,具体表现为Moodle的quiz通知发送机制存在逻辑漏洞。在正常的用户生命周期管理中,被暂停(suspended)或设置为非活跃(inactive)的用户应该被限制接收系统通知,特别是包含课程相关信息的通知。然而,Moodle在quiz模块的notification功能中,直接查询用户信息并发送通知,而没有先对用户的enrolment status进行二次验证。攻击者可以通过创建一个Moodle账户,被管理员暂停后,仍能通过API调用或触发quiz通知的场景接收到包含课程名称、测验标题等信息的通知消息。CVSS向量AV:N/AC:L/PR:L表明攻击者可以通过网络低复杂度攻击,利用低权限账户即可触发此漏洞。机密性影响为低(C:L),因为泄露的信息仅限于有限的课程相关元数据,不包括实际课程内容或用户敏感数据。