Moodle LMS 4.0 跨站脚本漏洞总结 漏洞概述 漏洞类型:跨站脚本 (Cross-Site Scripting, XSS) 漏洞位置: 漏洞成因:未对用户输入进行充分过滤,攻击者可通过搜索参数注入恶意脚本 CVSS 评分:5.0 (AV:N/AC:L/AT:N/PR:N/UI:R/VC:N/VI:N/VA:N/SC:L/SI:L/UA:N) 发布日期:2026年10月5日 CVE 编号:CVE-79 报告人:Saud Alenazi 影响范围 受影响产品:Moodle LMS 4.0 及以下版本 攻击条件:无需认证(unauthenticated) 攻击方式:通过 的搜索字段提交恶意 JavaScript 代码 潜在危害: - 在用户浏览器中执行任意脚本 - 窃取会话 cookie - 可能进一步实施会话劫持或数据泄露 修复方案 官方参考链接: - ExploitDB-51115 - Official Product Homepage - Product Reference 建议措施: - 升级至修复该漏洞的最新版本 Moodle - 对 中的用户输入进行严格过滤和转义 - 实施内容安全策略(CSP)以减少 XSS 风险 POC / 利用代码 > 页面中未提供具体 POC 代码,但指出可通过 的搜索字段注入 JavaScript 代码。 --- 注:以上信息基于 VulnCheck 平台发布的漏洞报告整理。