MSA-20-0011

說明

Moodle.org 9月21日發佈 Moodle YUI 的漏洞 MSA-20-0010: yui_combo should mitigate denial of service risk；此為 YUI (Moodle使用的Javascript套件, 由 Yahoo 開發)，可能被夾帶執行脚本檔案的風險。

目前 Moodle 版本 3.5 以後都有此問題，官方已經推出了修正版本，這個漏洞的危險程度列為重大（serious），已建檔為 CVE-2020-14322 列管（目前尚無資料）。

建議儘快修正此問題。

解決方案

3.5以前的版本

3.5以前的版本官方已不更新；基本上就是要解決YUI combo 功能的問題，目前各學校機關皆已排程處理，詳細解決方式請聯絡我們。

3.5以後的版本

解決方案為盡快升級到最新版本，目前最新版本為 3.5.13、3.7.7 、3.8.4 and 3.9.1。詳細解決方式請聯絡我們。