漏洞概述
Moodle 3.10.3 版本中存在一个持久型跨站脚本(XSS)漏洞,位于日历事件的字幕字段。攻击者可通过构造包含恶意 JavaScript 代码的日历事件,在用户查看该事件时执行任意脚本,从而可能导致会话劫持、信息泄露或其他客户端攻击。
漏洞详情
- CVE 编号:CVE-2021-47857
- 漏洞类型:持久型跨站脚本(Stored XSS,CWE-79)
- CVSS 评分:CVSS v3.1 评分为 7.2(HIGH),CVSS v4.0 评分为 5.1(MEDIUM)
- 影响版本:Moodle 3.10.3
影响范围
该漏洞影响 Moodle 3.10.3 版本。任何使用该版本且未应用相关安全补丁的 Moodle 实例均可能受到此漏洞影响,特别是允许低权限用户创建或编辑日历事件的部署环境。
风险分析
攻击者可利用此漏洞在受害者浏览器中执行任意 JavaScript 代码,无需用户交互(CVSS v3.1 中 UI:N)。由于漏洞作用域为“已更改”(Scope: Changed),攻击可能影响其他用户或系统组件。潜在风险包括窃取用户会话 Cookie、篡改页面内容、钓鱼攻击或作为进一步攻击的跳板。
修复建议
- 建议立即升级至 Moodle 官方发布的安全版本,以修复该 XSS 漏洞。
- 如无法立即升级,可临时限制非可信用户创建或编辑日历事件的权限,或对输入内容实施严格的 HTML 过滤与转义策略。
