MSA-20-0012

說明

Moodle.org 9月21日發佈 Moodle Tag 的漏洞 MSA-20-0012: Reflected XSS in tag manager；此為使用者建立 TAG (標籤) 時，沒有過濾惡程式碼，可能造成Reflected XSS 的風險。

The filter in the admin task log required extra sanitizing to prevent a reflected XSS risk.

目前 Moodle 版本 3.5 以後都有此問題，官方已經推出了修正版本，這個漏洞的危險程度列為重大（serious），已建檔為 CVE-2020-25628 列管（目前尚無資料）。

建議儘快修正此問題。

解決方案

3.5以前的版本

3.5以前的版本官方已不更新；基本上就是要解決 TAG 檢查 ReflectedXSS 的功能，目前各學校機關皆已排程處理，詳細解決方式請聯絡我們。

3.5以後的版本

解決方案為盡快升級到最新版本，目前最新版本為 3.5.14、3.7.8、3.8.5 and 3.9.2。詳細解決方式請聯絡我們。