关键漏洞信息 CVE-2024-47192 漏洞类型: 目录遍历 (Directory Traversal) 攻击类型: 远程 (Remote) 影响: 信息泄露 (Information disclosure) 描述: 在 Mahara 23.04.9 和 24.04.5 之前版本中,通过恶意的 参数在导出下载 URL 中可以导致信息泄露。 发现者: Boris Lickndon CVE-2024-45753 漏洞类型: 跨站脚本 (Cross-site scripting, XSS) 攻击类型: 远程 (Remote) 影响: 代码执行 (Code execution) 描述: 在 Mahara 23.04.9 和 24.04.5 之前版本中,外部 RSS 源块如果包含恶意的 属性值,可能会引发跨站脚本攻击。 发现者: Boris Lickndon CVE-2024-47853 漏洞类型: 权限提升 (Escalation of privileges) 攻击类型: 远程 (Remote) 影响: 权限提升 (Escalation of privileges) 描述: 在 Mahara 23.04.9 和 24.04.5 之前版本中,当使用学习工具互操作性 (LTI) 登录时,攻击者在某些情况下可能获得提升的权限。 发现者: Humboldt-Universität zu Berlin 备注: 仅影响使用 LTI 并且有暂停或过期账户的站点。 更新信息 Git 分支: - 24.04.5 Git branch: 最终发布版 - 23.04.9 Git branch: 最终发布版 可下载包: 可在 "Releases" 页面下载,适用于不同版本和配置。 更新建议: 推荐订阅者将 Mahara 实例更新到最新维护版本,或从不支持版本升级到支持版本。