Moodle.org 11月18日發佈 OAuth2 的漏洞 MSA-19-0025: Add additional verification for some OAuth 2 logins to prevent account compromise;此漏洞為OAuth 2 providers沒有提供,使用者 email 更改檢查選項,在簽入/登入期間進行進一步檢查(以此降低使用者帳號被盜用的風險)。
目前 Moodle 已經推出了3.5至3.6版本各分支的修正版本,這個漏洞的危險程度列為重大(serious),已建檔為CVE-2019-14880 列管。
在還沒解決這個問題前,建議先停用 OAuth2 功能(login via OAuth 2 providers)。
官方已不更新;基本上就是要漏洞的問題,目前各學校機關皆已排程處理,詳細解決方式請聯絡我們。
解決方案為盡快升級到最新版本,目前最新版本為 3.7.3, 3.6.7 and 3.5.9。