تنبيه الأمان

أثناء مراجعة كود منصة edX ، تم اكتشاف بعض طلبات HTTP GET ذات التأثير الجانبي. هذه الطلبات بشكل عام غير مرغوب فيها ولا تفرض الحماية عبر الموقع لطلب التزوير (CSRF). في حالة واحدة محددة ، من المحتمل أن يقوم المستخدمون بتصعيد امتيازاتهم عبر هجوم ضد الموظفين أو المستخدمين المتميزين.

مزيد من المعلومات

يعمل هذا التصحيح على إصلاح مشكلة حيث يمكن لمستخدم ضار إغراء معلم لعرض صفحة يمكن بدورها منح المستخدم الضار امتيازات إضافية.

على الرغم من أن النظام الأساسي يستخدم بالفعل حماية البرمجيات الوسيطة عبر الموقع المتقاطع (CSRF) من Django ، فقد وُجد أن بعض نقاط النهاية ذات الآثار الجانبية تستخدم طرق GET. يفرض التصحيح على نقاط النهاية هذه أن تتطلب POST ، والتي تتيح أيضًا حماية CSRF بشكل صحيح.

لمزيد من المعلومات، راجع:

- https://docs.djangoproject.com/en/1.9/ref/csrf/

ننصحك بشدة بتصحيح مثيلاتك في أقرب وقت ممكن.

التصحيح لأولئك الذين يتتبعون الماجستير عن كثب:
https://github.com/edx/edx-platform/commit/d54f79f5bf3e1af17063937df1abc…

تصحيح قرانيا الإفراج عن اسمه:
https://github.com/edx/edx-platform/commit/d929c1cd8ca11d801a03232f200c9…