MSA-20-0012
說明
說明
Moodle.org 9月21日發佈 Moodle Tag 的漏洞 MSA-20-0012: Reflected XSS in tag manager;此為使用者建立 TAG (標籤) 時,沒有過濾惡程式碼,可能造成Reflected XSS 的風險。
The filter in the admin task log required extra sanitizing to prevent a reflected XSS risk.
目前 Moodle 版本 3.5 以後都有此問題,官方已經推出了修正版本,這個漏洞的危險程度列為重大(serious),已建檔為 CVE-2020-25628 列管(目前尚無資料)。
建議儘快修正此問題。
解決方案
解決方案
3.5以前的版本
3.5以前的版本
3.5以前的版本官方已不更新;基本上就是要解決 TAG 檢查 ReflectedXSS 的功能,目前各學校機關皆已排程處理,詳細解決方式請聯絡我們。
3.5以後的版本
3.5以後的版本
解決方案為盡快升級到最新版本,目前最新版本為 3.5.14、3.7.8、3.8.5 and 3.9.2。詳細解決方式請聯絡我們。