漏洞背景

近日，嘉诚安全监测到Moodle发布新版本，修复了一处远程代码执行漏洞，漏洞编号为：CNNVD-202311-782(CVE-2023-5540)。

Moodle是一套免费、开源的电子学习软件平台，也称课程管理系统、学习管理系统或虚拟学习环境。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

漏洞详情

经研判，该漏为中危漏洞，存在于‘IMSCP’活动中，是由于允许用户的输入包含代码语法造成的。利用该漏洞，攻击者可以以更改产品的预期控制流的方式构建代码，进而执行任意代码。

危害影响

影响版本

3.9.0<=Moodle<=3.9.23

3.11.0<=Moodle<=3.11.16

4.0.0<=Moodle<=4.0.10

4.1.0<=Moodle<=4.1.5

4.2.0<=Moodle<=4.2.2

修复建议

根据影响版本中的信息，建议相关用户尽快更新至安全版本：

Moodle >= 3.9.24

Moodle >= 3.11.17

Moodle >= 4.0.11

Moodle >= 4.1.6

Moodle >= 4.2.3

官方链接：

https://download.moodle.org/