MSA-19-0004

Moodle.org 3月19日發佈Javascript漏洞 MDL-63786 "Log in as" functionality exposed to JavaScript risk on other users' Dashboards (管理者可以經由代登入(以此身份登功能)；此漏洞是Javascript 的問題，有可能造成儀錶板(My Moodle)，在切換使用者後會有非個人資訊在目前的儀錶板上。

這個問題只有在 3.1及 3.4，3.5 及 3.6 己經實作有效清除的功能(不會有此問題)。

目前 Moodle 已經推出了3.5至3.6版本各分支的修正版本，這個漏洞的危險程度列為重大（serious），已建檔為 CVE-2019-3847 列管。

解決方案

儘快升級 3.5 或 3.6 ，(3.4以前包含3.4、3.3、3.2及 3.1 等版本，官方已不更新安全性問題)；在還沒有升級前先停用 "代登入-以此使用者登入" 功能，或儘量使用瀏覽器無痕模式，操作代登入功能。(基本原則是較少的 cookie / session，藉此降低風險。

詳細解決方式請聯絡我們。

Moodle.org 3月19日發佈計行事曆漏洞 MSA-19-0005: Logged in users could view all calendar events (權限管理的失誤，造成使用者(已登入用戶/非來賓)觀看事件時有可能看到沒有授權的使用者事件。

者可以經由代登入(以此身份登功能)；此漏洞是Javascript 的問題，有可能造成儀錶板(My Moodle)，在切換使用者後會有非個人資訊在目前的儀錶板上。

目前 Moodle 已經推出了3.1至3.5版本各分支的修正版本，這個漏洞的危險程度列為重大（serious），已建檔為 CVE-2019-3848 列管。

儘快升級 3.4 、3.5 或 3.6 ，3.4.8, 3.5.5 and 3.6.3。詳細解決方式請聯絡我們。

Moodle.org 3月19日發佈LTI漏洞 MSA-19-0006: Users could elevate their role when accessing the LTI tool on a provider site (使用者有可能經由 LTI 在 Moodle 提升自已的權限；進而可以存取課程及活動資源。

目前 Moodle 已經推出了3.5至3.6版本各分支的修正版本，這個漏洞的危險程度列為重大（serious），已建檔為 CVE-2019-3849 列管。

儘快升級 3.4 、3.5 或 3.6 ，3.4.8, 3.5.5 and 3.6.3。詳細解決方式請聯絡我們。

Report abuse