【漏洞預警】Moodle 遠端程式碼執行漏洞(CVE-2024-43425)2024 年 9 月 3 日在廣泛使用的學習管理系統 Moodle 中發現了一個嚴重漏洞 (CVE-2024-43425)。此缺陷可能使攻擊者能夠在受影響的伺服器上執行惡意程式碼,從而可能損害敏感的學生資料並擾亂世界各地的教育機構。 Moodle 的「計算問題」功能旨在使教育工作者能夠使用通配符(例如 {x} 或 {y})來建立個人化的數字問題,在進行測驗時這些通配符會被替換為隨機值。這些問題也允許指定 Moodle 用來計算正確答案的公式。然而, RedTeam Pentesting的安全研究人員發現,Moodle 在將這些公式傳遞給負責處理公式的 PHP eval() 函數之前對其進行清理的方式有缺陷。 強烈建議所有 Moodle 管理員立即將其安裝升級到最新的修補版本(4.1.12、4.2.9、4.3.6 或 4.4.2)。系統管理員應仔細檢查使用者權限,確保只有受信任的個人才能在課程中建立或修改問題。如果無法立即升級,請考慮修補檔案中的清理函數/question/type/calculated/questiontype.php以始終傳回 false,從而停用計算問題功能,直到可以套用修復為止。 上一篇 【漏洞預警】7-Zip < 23.00版本有多個弱點,請使用者儘速確認並進行更新!下一篇 [資安新聞] Google Pixel傳出內建第三方元件,其弱點恐讓攻擊者控制手機