关键漏洞信息 1. Cross Site Scripting (XSS) 攻击类型: 远程 影响: 代码执行 受影响版本: Mahara 21.10 before 21.10.6, 22.04 before 22.04.4, and 22.10 before 22.10.1 描述: 特定结构的XML文件在处理时可能导致代码执行。 报告者: Marlon Starkloff CVE参考: CVE-2022-45134 2. Directory Traversal 攻击类型: 远程 影响: 错误访问控制 / 代码执行 受影响版本: Mahara 21.10 before 21.10.6, 22.04 before 22.04.4, and 22.10 before 22.10.1 描述: 特定结构的XML文件允许遍历服务器以访问安全文件或基于有效载荷执行代码。 报告者: Marlon Starkloff CVE参考: CVE-2022-45133 3. Information Disclosure 攻击类型: 本地 影响: 信息泄露 受影响版本: Mahara before 22.10.4 and 23.x before 23.04.4 描述: 如果通过管理界面或CLI使用实验性HTML批量导出,可能会泄露其他账户持有者的图像,因为缓存未在导出一个账户的文件后清除。 报告者: Francis Devine (Catalyst IT) CVE参考: CVE-2023-47799 建议 更新Mahara实例到最新次要版本。 老旧不受支持的版本应升级到受支持的版本。 可通过订阅获取扩展安全支持。