تنبيه الأمان
| الخطورة: | مرتفع |
| التصنيف: | تسرب إحالة عبر المجال |
| المشاريع المتضررة: | منصة edx |
| مراسل: | سميت B. Shah & Nikhil Srivastava من Techdefence Labs |
| URL الدائم: | https://openedx.org/CVE-2015-2286 |
في 11 كانون الثاني (يناير) 2015 ، أبلغ سميت ب شاه ونيخيل سريفاستافا عن ثغرة أمنية تسببت في إعادة توجيه الرموز المميزة لإعادة تعيين كلمة المرور إلى شبكات التواصل الاجتماعي التابعة لجهات خارجية في رأس مُحيل HTTP. ستسمح الثغرة الأمنية للمستخدمين المتميزين في تلك الأطراف الثالثة بالوصول إلى الرموز المميزة لإعادة تعيين كلمة المرور التي أنشأها المستخدم. تم إصدار التصحيح الذي حل هذا الخطأ في 29 يناير 2015. تم الإعلان عن حل هذه المشكلة عبر Security-notifications@edx.org القائمة في 30 يناير 2015.
نقاط الضعف والتعرض الشائعة (CVE) قام المشروع بتعيين الاسم CVE-2015-2286 لهذه القضية. هذا هو الدخول على CVE قائمة (http://CVE.mitre.org) ، الذي يوحد الأسماء لمشاكل الأمان.
مزيد من المعلومات
كانت روابط المشاركة الاجتماعية في تذييل edX موجودة على الصفحة الهدف المحددة في البريد الإلكتروني لإعادة تعيين كلمة المرور. في حالة قيام المستخدم بالنقر فوق الارتباط المرسل عبر البريد الإلكتروني لإعادة تعيين كلمة المرور الخاصة به ثم النقر فوق أحد الأطراف الثالثة تابعنا الروابط في تذييل edx ، سيحتوي رأس مرجع HTTP على رمز إعادة تعيين كلمة المرور. سيكون هذا الرمز المميز متاحًا بعد ذلك إما في السجلات أو في التعليمات البرمجية التي يتم تشغيلها لدى الجهة الخارجية.
تم إدخال الخطأ في هذا ارتكاب.
تم إصلاح الخلل في هذا ارتكب.
