Moodle
This hub aggregates every CVE we track for Moodle, a product in the web cms plugins space. Use it to gauge the current risk picture and drill into individual advisories.
192
CVEs tracked
11
Critical
41
High
0
In CISA KEV
Severity distribution
MEDIUM123HIGH41LOW17CRITICAL11
Monthly trend
0
0
0
22
1
0
9
0
17
0
1
0
2
1
2
0
0
2
4
1
0
0
0
0
2024-082026-07
Latest CVEs
The 15 most recently published vulnerabilities affecting Moodle.
- CVE-2025-49514Уязвимость виртуальной обучающей среды Moodle, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации8.6
- CVE-2026-26047Moodle: moodle: uncontrolled resource consumption in tex formula editor leading to denial of service6.5
- CVE-2026-26046Moodle: moodle: improper input sanitization in tex filter administration setting7.2
- CVE-2026-26045Moodle: moodle: improper validation in file restore functionality leading to remote code execution7.2
- CVE-2025-67850Moodle: moodle: cross-site scripting vulnerability via inadequate input filtering in formula editor7.3
- CVE-2025-67847Moodle: moodle: remote code execution via insufficient restore input validation8.8
- CVE-2021-47857Moodle 3.10.3 - 'label' Persistent Cross Site Scripting7.2
- CVE-2025-62401Moodle: possible to bypass timer in timed assignments5.4
- CVE-2025-62400Moodle: hidden group names visible to event creators4.3
- CVE-2025-49512Уязвимость виртуальной обучающей среды Moodle, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю получить провести атаку межсайтового скриптинга (XSS)5.7
- BDU:2025-10104Уязвимость виртуальной обучающей среды Moodle, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный код6.3
- BDU:2025-10103Уязвимость виртуальной обучающей среды Moodle, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный код6.3
- CVE-2025-53021A session fixation vulnerability in Moodle 3.x through 3.11.18 allows unauthenticated attackers to hijack user sessions via the sesskey parameter. The sesskey can be obtained without authentication...4.2
- CVE-2025-32045Moodle: hidden grades shown to users without permission on some grade reports5.3
- CVE-2025-32044Moodle: unauthenticated rest api user data exposure7.5
Product normalization is registry-driven with AI assist and human review. How it works