MSA-21-0007

說明

Moodle.org 3月15日發佈 Moodle 回饋單(feedback)活動 的問題 MSA-21-0007: Stored XSS and blind SSRF possible via feedback answer text；此漏洞是回饋單使用者填寫內容，可能夾帶惡意內容的問題。

Text-based feedback answers required additional sanitizing to prevent stored XSS and blind SSRF risks.

目前 Moodle 版本 3.5 以後都有此問題，官方已經推出了修正版本，這個漏洞的危險程度列為重大（serious），已建檔為 CVE-2021-20280 列管（目前尚無資料）。

建議儘快修正此問題。

解決方案

3.5以前的版本

3.5以前的版本官方已不更新；目前各學校機關皆已排程處理，詳細解決方式請聯絡我們。

3.5以後的版本

解決方案為盡快升級到最新版本，目前最新版本為 3.5.17、3.8.8、3.9.5 and 3.10.2。詳細解決方式請聯絡我們。