MSA-20-0001

說明

Moodle.org 1月20日發佈 Moodle 簡訊功能的漏洞 MSA-20-0001: Stored XSS in message conversation overview；此為Moodle 簡訊功能沒有額外作檢查，濾掉 html/script 的問題；可能會有 stored XSS 的風險。

目前 Moodle 只有 3.8 有此問題，已經推出了3.8的修正版本，這個漏洞的危險程度列為重大（serious），已建檔為 CVE-2020-1691 列管（目前尚無資料）。

建議在還沒修正這個問題前，停用簡訊功能。

解決方案

3.8以前的版本

3.5以前的版本沒有影響。

3.8以後的版本

解決方案為盡快升級到最新版本，目前最新版本為 3.8.1。詳細解決方式請聯絡我們。