Alerta de seguridad
| Gravedad: | Alto |
| Categoría: | CSRF |
| Proyectos afectados: | plataforma edx |
| Reportero: | autoinformado |
| URL permanente: |
Durante una revisión del código de la plataforma edX, se descubrieron algunas solicitudes HTTP GET con efectos secundarios. Tales solicitudes generalmente no son deseables y no aplican la protección contra la falsificación de solicitudes entre sitios (CSRF). En un caso específico, los usuarios podrían escalar potencialmente sus privilegios a través de un ataque contra el personal o los superusuarios.
Más Información
Este parche soluciona un problema por el que un usuario malintencionado podía atraer a un instructor para que viera una página que, a su vez, podía otorgar privilegios adicionales al usuario malintencionado.
Aunque la plataforma ya utiliza la protección de middleware de falsificación de solicitudes entre sitios (CSRF) de Django, se descubrió que algunos puntos finales con efectos secundarios utilizan métodos GET. El parche obliga a estos puntos finales a requerir POST, lo que también habilita correctamente la protección CSRF.
Para más información, ver:
– https://docs.djangoproject.com/en/1.9/ref/csrf/
Le recomendamos encarecidamente que parchee sus instancias lo antes posible.
Parche para aquellos que siguen de cerca al maestro:
https://github.com/edx/edx-platform/commit/d54f79f5bf3e1af17063937df1abc…
Parche para cornejo de liberación nombrada:
https://github.com/edx/edx-platform/commit/d929c1cd8ca11d801a03232f200c9…
