MSA-21-0005

說明

Moodle.org 1月25日發佈 Moodle 身份認證 Shibboleth 的漏洞 MSA-21-0005: Arbitrary PHP code execution by site admins via Shibboleth configuration；如果系統有開啟 Shibboleth 認證，則有可能有 執行任意程式碼(arbitrary code execution) 的風險。

It was possible for site administrators to execute arbitrary PHP scripts via a PHP include used during Shibboleth authentication.

目前 Moodle 版本 3.5 以後都有此問題，官方已經推出了修正版本，這個漏洞的危險程度列為重大（serious），已建檔為 CVE-2021-20187 列管（目前尚無資料）。

(在 config.php 加上 $CFG->preventexecpath 可能暫時解決， 請參考這裡，但還是建議應該解決 moodledata config 檔的問題。詳細解決方式請聯絡我們。)

Harcode preventexecpath to true in config.php, which prevents site administrators setting some executable paths via the UI. See for more details.

在修正此問題前，停用 Shibboleth 身份認證。

解決方案

3.5以前的版本

3.5以前的版本官方已不更新；目前各學校機關皆已排程處理，詳細解決方式請聯絡我們。

3.5以後的版本

解決方案為盡快升級到最新版本，目前最新版本為 3.5.16、3.8.7、3.9.4 and 3.10.1。詳細解決方式請聯絡我們。