MSA-21-0006

說明

Moodle.org 3月15日發佈 Moodle Profile(個資) 的漏洞 MSA-21-0006: Stored XSS via ID number user profile field;這個問題是 profile 的 IDNumber 缺少了惡意脚本過濾,可能有 stored XSS 的風險。

The ID number user profile field required additional sanitizing to prevent a stored XSS risk.


目前 Moodle 版本 3.5 以後有此問題,官方已經推出了修正版本,這個漏洞的危險程度列為重大(serious),已建檔為 CVE-2021-20279 列管(目前尚無資料)。


建議儘快修正此問題;或者到 管理->用戶->使用者原則,將 ID number 關閉。

Disable the ID number field by unchecking it in Site admin > Users > User policies > Show user identity, until the patch has been applied.

解決方案

3.5以前的版本

3.5以前的版本官方已不更新;目前各學校機關皆已排程處理,詳細解決方式請聯絡我們

3.5以後的版本

解決方案為盡快升級到最新版本,目前最新版本為 3.5.17、3.8.8、3.9.5 and 3.10.2。詳細解決方式請聯絡我們