Alerte de sécurité : activation du compte avec une adresse e-mail non vérifiée

20 juillet 2016 | Par

Robert Raposa (edX)

Alerte de sécurité

Gravité: Moyenne
Catégorie: Vulnérabilité de vérification des e-mails
Projets concernés : edx-platform
Journaliste: autodéclaré
URL permanente :  

Lors d'un audit de sécurité automatisé du code de la plate-forme edX, nous avons découvert un bogue dans le processus de vérification des e-mails et d'activation du compte. Ce bogue permet à un utilisateur malveillant d'activer un compte avec une adresse e-mail non vérifiée (invalide ou celle de quelqu'un d'autre).

Normalement, un compte est activé une fois qu'un utilisateur a vérifié son adresse e-mail. L'activation permet à l'utilisateur de se connecter au LMS et de recevoir des e-mails de la plateforme.

Nous vous conseillons vivement de patcher vos instances dès que possible.

Patch pour ceux qui suivent de près le maître :
https://github.com/edx/edx-platform/commit/95c0b50ebebf8e226fb832d0acb8a…

Patch pour cornouiller nommé:
https://github.com/edx/edx-platform/commit/9b1f89d19ad26625859f887b12931…

 

chargement

Ressources

Il est temps d'en savoir plus ? Consultez les articles ci-dessous.

La plateforme Open edX obtient la certification LTI® Advantage
Le genévrier est là !
Démos de parrainage edX
Annulation de la conférence Open edX 2020
Rejoignez la conférence Open edX 2026 !

La conférence Open edX 2026 présentera des cas d'utilisation innovants pour l'un des meilleurs systèmes de gestion de l'apprentissage en ligne open source au monde, la plateforme Open edX, et découvrira les dernières avancées en matière de conception pédagogique, de constellation de cours et de méthodes d'exploitation et d'extension de la plateforme Open edX. , y compris des technologies de pointe, telles que l’IA générative.

Inscrivez-vous