CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-30884

Critical
Published: Translated: NVD NIST

Summary

Wtyczka mdjnelson/moodle-mod_customcert dla Moodle umożliwia tworzenie dynamicznie generowanych certyfikatów z pełną personalizacją przez przeglądarkę. W wersjach przed 4.4.9 i 5.0.3 nauczyciel posiadający uprawnienia `mod/customcert:manage` w jednym kursie może odczytać i cicho nadpisać elementy certyfikatu należące do innego kursu w instalacji Moodle.

Risk Assessment

Istnieje ryzyko ujawnienia informacji między kursami oraz manipulacji danymi, co może prowadzić do nieautoryzowanego dostępu do certyfikatów i ich modyfikacji przez nauczycieli.

Recommendation

Zaleca się aktualizację do wersji 4.4.9 lub 5.0.3, aby zabezpieczyć system przed tymi podatnościami.

Original NVD description (English source)

mdjnelson/moodle-mod_customcert is a Moodle plugin for creating dynamically generated certificates with complete customization via the web browser. Prior to versions 4.4.9 and 5.0.3, a teacher who holds `mod/customcert:manage` in any single course can read and silently overwrite certificate elements belonging to any other course in the Moodle installation. The `core_get_fragment` callback `editelement` and the `mod_customcert_save_element` web service both fail to verify that the supplied `elementid` belongs to the authorized context, enabling cross-course information disclosure and data tampering. Versions 4.4.9 and 5.0.3 fix the issue.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS