MSA-21-0004

說明

Moodle.org 1月25日發佈 Moodle TeX 的漏洞 MSA-21-0004: Stored XSS possible via TeX notation filter；如果系統有開啟 TeX 則有可能有 stored XSS 的風險。

If the TeX notation filter was enabled, additional sanitizing of TeX content was required to prevent the risk of stored XSS.

目前 Moodle 版本 3.5 以後都有此問題，官方已經推出了修正版本，這個漏洞的危險程度列為重大（serious），已建檔為 CVE-2021-20186 列管（目前尚無資料）。

在修正此問題前，關閉 TeX 過濾器。

解決方案

3.5以前的版本

3.5以前的版本官方已不更新；目前各學校機關皆已排程處理，詳細解決方式請聯絡我們。

3.5以後的版本

解決方案為盡快升級到最新版本，目前最新版本為 3.5.16、3.8.7、3.9.4 and 3.10.1。詳細解決方式請聯絡我們。