MSA-19-0022
說明
說明
Moodle.org 9月16日發佈 APP 的漏洞 MSA-19-0022: Open redirect in the mobile launch endpoint could be used to expose mobile access tokens;此漏洞有可能讓APP 在開啟活動跳時,曝露出APP 的該使用者 token。
目前 Moodle 已經推出了3.7至3.5版本各分支的修正版本,這個漏洞的危險程度列為重大(serious),已建檔為 CVE-2019-14827 列管(目前尚無資料)。
在問題尚未解決前,請管理員設定"強制使用 moodlemobile;或暫時關閉 Moodle APP 的使用;如果無法關閉 APP 使用,請在 APP 的登入方法中請不要用 經由 SSO ,而改設定 'via the app' 經由 APP登入。
解決方案
解決方案
3.5以前的版本
3.5以前的版本
官方已不更新;基本上就是要漏洞的問題,目前各學校機關皆已排程處理,詳細解決方式請聯絡我們。
3.5以後的版本
3.5以後的版本
解決方案為盡快升級到最新版本,目前最新版本為 3.7.2, 3.6.6 and 3.5.8。