【漏洞預警】Moodle 遠端程式碼執行漏洞(CVE-2024-43425)

在廣泛使用的學習管理系統 Moodle 中發現了一個嚴重漏洞 (CVE-2024-43425)。此缺陷可能使攻擊者能夠在受影響的伺服器上執行惡意程式碼，從而可能損害敏感的學生資料並擾亂世界各地的教育機構。

Moodle 的「計算問題」功能旨在使教育工作者能夠使用通配符（例如 {x} 或 {y}）來建立個人化的數字問題，在進行測驗時這些通配符會被替換為隨機值。這些問題也允許指定 Moodle 用來計算正確答案的公式。然而， RedTeam Pentesting的安全研究人員發現，Moodle 在將這些公式傳遞給負責處理公式的 PHP eval() 函數之前對其進行清理的方式有缺陷。

強烈建議所有 Moodle 管理員立即將其安裝升級到最新的修補版本（4.1.12、4.2.9、4.3.6 或 4.4.2）。系統管理員應仔細檢查使用者權限，確保只有受信任的個人才能在課程中建立或修改問題。如果無法立即升級，請考慮修補檔案中的清理函數/question/type/calculated/questiontype.php以始終傳回 false，從而停用計算問題功能，直到可以套用修復為止。