Alerte de sécurité

Le 11 janvier 2015, une faille de sécurité a été signalée par Smit B. Shah et Nikhil Srivastava qui provoquait le transfert de jetons de réinitialisation de mot de passe vers des réseaux sociaux tiers dans l'en-tête de référence HTTP. La vulnérabilité permettrait aux utilisateurs privilégiés de ces tiers d'accéder aux jetons de réinitialisation de mot de passe générés par l'utilisateur. Un correctif qui a résolu ce bogue a été publié le 29 janvier 2015. La résolution de ce problème a été annoncée via le security-notifications@edx.org liste au 30 janvier 2015.

Les vulnérabilités et expositions courantes (CVE) projet a attribué le nom CVE-2015-2286 à ce numéro. Il s'agit d'une entrée sur le CVE liste (http://cve.mitre.org), qui normalise les noms des problèmes de sécurité.

Plus d'informations

Les liens de partage social dans le pied de page d'edX étaient présents sur la page cible spécifiée dans l'e-mail de réinitialisation du mot de passe. Dans le cas où un utilisateur a cliqué sur le lien envoyé par e-mail pour réinitialiser son mot de passe et a ensuite cliqué sur l'un des tiers Suivez-nous liens dans le pied de page edx, l'en-tête HTTP Referrer contiendrait le jeton de réinitialisation du mot de passe. Ce jeton serait alors disponible soit dans les journaux, soit dans le code exécuté chez le tiers.

Le bogue a été introduit dans ce commettre.

Le bogue a été corrigé dans ce s'engager.