发布编号:TACERT-ANA-2021041304041010
发布时间:2021-04-13 16:05:10
事故类型:ANA-漏洞预警
发现时间:2021-04-13 16:05:10
影响等级:低
[主旨说明:]
【漏洞预警】Moodle数码学习平台疑似存在系统漏洞,请尽速确认并进行更新!
[内容说明:]
转发 国家资安资讯分享与分析中心 NISAC-ANA-202104-0468
根据外部情资显示,资安研究专家于2020年10月发现Moodle数码学习平台存在储存式跨网站指令码(Stored XSS)漏洞,漏洞编号为CVE-2021-20186。造成该漏洞原因为Moodle TeX功能未做资料输入验证,骇客可透过此漏洞将恶意程式注入课程讨论区,当使用者点选课程讨论文章便触发恶意程式,根据资安研究专家测试,此漏洞可造成课程成员个人资讯洩漏、权限提权及课程成绩窜改等。
Moodle官方已于2021年1月释出安全性更新版本,包含Moodle 3.10.1、3.9.4、3.8.7及3.5.16,相关安全性更新版本至少需使用PHP 7.0以上版本,技服中心发现部分TANET用户PHP版本低于7.0版,相关Moodle对应PHP版本如下:
● Moodle 3.10.1对应PHP版本至少7.2以上
● Moodle 3.9.4对应PHP版本至少7.2以上
● Moodle 3.8.7对应PHP版本至少7.1以上
● Moodle 3.5.16对应PHP版本至少7.0以上
建议TANET用户比对Moodle版本是否属已知漏洞之平台。
情资分享等级: WHITE(情资内容为可公开揭露之资讯)
[影响平台:]
Moodle 3.10(含)
● Moodle 3.9(含)至3.9.3(含)
● Moodle 3.8(含)至3.8.6(含)
● Moodle 3.5(含)至3.5.15(含) 其他更旧版本
[建议措施:]
1. 检视相关资讯设备是否属已知漏洞之平台。
2. 建议贵单位盘点内部是否存在相关Moodle平台,并检视是否开启TeX功能。
3. 官方已释出安全性更新版本,建议贵单位内部评估影响范围与更新之必要性。
[参考资料:]
1、[Moodle官方漏洞说明-Security announcements MSA-21-0004: Stored XSS possible via TeX notation filter]
2、[CVE-2021-20186漏洞说明-CVE-2021-20186 Detail]
4、[OWASP Stored XSS说明-Cross Site Scripting (XSS)]
(此通报仅在于告知相关资讯,并非为资安事件),如果您对此通报的内容有疑问或有关于此事件的建议,欢迎与我们连络。
教育机构资安通报应变小组
网址:https://info.cert.tanet.edu.tw/
专线电话:07-5250211
网络电话:98400000
E-Mail:service@cert.tanet.edu.tw
