說明

Moodle.org 2024年 08月 19日發佈MSA-24-0026: Remote code execution via calculated question types , Moodle 測驗題型裡的qtype calculated (計算問題),使Editing Teacher 能夠使用wild-card(通配符, eg.  {x} 或 {y}）來建立計算問題，在進行測驗時這些通配符會被替換為隨機值。這些問題也允許指定 Moodle 用來計算正確答案的公式。然而， RedTeam Pentesting的安全研究人員發現，Moodle 在將這些公式傳遞給負責處理公式的 PHP eval() 函數之前對其進行清理的方式有缺陷。

Moodle 受影響版本包含 4.4 to 4.4.1, 4.3 to 4.3.5, 4.2 to 4.2.8, 4.1 to 4.1.11, 及之前的版本都有此問題，官方已經推出了修正版本，這個漏洞的危險程度列為重大（serious），已建檔為 CVE-2024-43425 列管。

• 強烈建議所有 Moodle 立即升級到最新的修補版本（4.4.2, 4.3.6, 4.2.9 and 4.1.12 ）。

• 如果無法立即升級，請考慮停用計算問題(calculated)題型，直到可以套用修復為止。

• 另外建議管理員檢查使用者權限，確保只有受信任的使用者才能在課程中建立或修改問題。

若有進一步問題，請連絡我們協助處理。