MSA-20-0009

說明

Moodle.org 7月20日發佈 Moodle 身份管理的漏洞 MSA-20-0009: Course enrolments allowed privilege escalation from teacher role into manager role；此為沒有進行身份變更前的權限檢查，有可能會讓老師提權為管理員。

目前 Moodle 版本 3.5 以後都有此問題，官方已經推出了修正版本，這個漏洞的危險程度列為重大（serious），已建檔為 CVE-2020-14321 列管（目前尚無資料）。

建議儘快修正此問題。

解決方案

3.5以前的版本

3.5以前的版本沒有影響。

3.5以後的版本

解決方案為盡快升級到最新版本，目前最新版本為 3.5.13、3.7.7、3.8.4 and 3.9.1。詳細解決方式請聯絡我們。