MSA-19-0025

說明

Moodle.org 11月18日發佈 OAuth2 的漏洞 MSA-19-0025: Add additional verification for some OAuth 2 logins to prevent account compromise；此漏洞為OAuth 2 providers沒有提供，使用者 email 更改檢查選項，在簽入/登入期間進行進一步檢查(以此降低使用者帳號被盜用的風險)。

目前 Moodle 已經推出了3.5至3.6版本各分支的修正版本，這個漏洞的危險程度列為重大（serious），已建檔為CVE-2019-14880 列管。

在還沒解決這個問題前，建議先停用 OAuth2 功能(login via OAuth 2 providers)。

解決方案

3.5以前的版本

官方已不更新；基本上就是要漏洞的問題，目前各學校機關皆已排程處理，詳細解決方式請聯絡我們。

3.5以後的版本

解決方案為盡快升級到最新版本，目前最新版本為 3.7.3, 3.6.7 and 3.5.9。