Alerte de sécurité

Lors d'un examen du code de la plate-forme edX, certaines requêtes HTTP GET à effet secondaire ont été découvertes. De telles demandes sont généralement indésirables et n'appliquent pas la protection CSRF (Cross Site Request Forgery). Dans un cas spécifique, les utilisateurs pourraient potentiellement augmenter leurs privilèges via une attaque contre le personnel ou les super utilisateurs.

Plus d'informations

Ce correctif résout un problème où un utilisateur malveillant pouvait inciter un instructeur à afficher une page qui pourrait à son tour accorder à l'utilisateur malveillant des privilèges supplémentaires.

Bien que la plate-forme utilise déjà la protection middleware CSRF (Cross-Site Request Forgery) de Django, certains points de terminaison avec des effets secondaires se sont avérés utiliser des méthodes GET. Le correctif oblige ces points de terminaison à exiger POST, ce qui active également correctement la protection CSRF.

Pour plus d'informations, voir:

- https://docs.djangoproject.com/en/1.9/ref/csrf/

Nous vous conseillons vivement de patcher vos instances dès que possible.

Patch pour ceux qui suivent de près le maître :
https://github.com/edx/edx-platform/commit/d54f79f5bf3e1af17063937df1abc…

Patch pour cornouiller nommé:
https://github.com/edx/edx-platform/commit/d929c1cd8ca11d801a03232f200c9…