Vulnerabilities > CVE-2015-7712 - Unspecified vulnerability in Atutor

CVSS 6.5 - MEDIUM

Attack vector

NETWORK

Attack complexity

LOW

Privileges required

SINGLE

Confidentiality impact

PARTIAL

Integrity impact

PARTIAL

Availability impact

PARTIAL

network

low complexity

atutor

NVD

Published: 2015-11-16

Updated: 2018-10-09

Summary

Multiple eval injection vulnerabilities in mods/_standard/gradebook/edit_marks.php in ATutor 2.2 and earlier allow remote authenticated users with the AT_PRIV_GRADEBOOK privilege to execute arbitrary PHP code via the (1) asc or (2) desc parameter. <a href="https://cwe.mitre.org/data/definitions/95.html">CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection')</a>

Vulnerable Configurations

Part	Description	Count
Application	Atutor Atutor Atutor 0.9.6 Atutor Atutor 0.9.7 Atutor Atutor 1.0 Atutor Atutor 1.2.1 Atutor Atutor 1.2.2 Atutor Atutor 1.3 Atutor Atutor 1.3.1 Atutor Atutor 1.3.2 Atutor Atutor 1.3.3 Atutor Atutor 1.4 Atutor Atutor 1.4.1 Atutor Atutor 1.4.2 Atutor Atutor 1.4.3 Atutor Atutor 1.5 Atutor Atutor 1.5.1 Atutor Atutor 1.5.2 Atutor Atutor 1.5.3 Atutor Atutor 1.5.3.1 Atutor Atutor 1.5.3.2 Atutor Atutor 1.5.3.3 Atutor Atutor 1.5.4 Atutor Atutor 1.5.5 Atutor Atutor 1.6 Atutor Atutor 1.6.1 Atutor Atutor 1.6.2 Atutor Atutor 1.6.3 Atutor Atutor 1.6.4 Atutor Atutor 2.0 Atutor Atutor 2.0.1 Atutor Atutor 2.0.2 Atutor Atutor 2.0.3 Atutor Atutor 2.1 Atutor Atutor 2.1.1 Atutor Atutor 2.2	42

Packetstorm

data source	https://packetstormsecurity.com/files/download/134218/KIS-2015-08.txt
id	PACKETSTORM:134218
last seen	2016-12-05
published	2015-11-04
reporter	EgiX
source	https://packetstormsecurity.com/files/134218/ATutor-2.2-PHP-Code-Injection.html
title	ATutor 2.2 PHP Code Injection

Summary

Vulnerable Configurations

Packetstorm

References