Allarme di sicurezza

Durante una revisione del codice della piattaforma edX sono state scoperte alcune richieste HTTP GET con effetti collaterali. Tali richieste sono generalmente indesiderabili e non applicano la protezione contro la falsificazione delle richieste tra siti (CSRF). In un caso specifico, gli utenti potrebbero potenzialmente aumentare i propri privilegi tramite un attacco contro il personale oi super utenti.

Maggiori informazioni

Questa patch risolve un problema per cui un utente malintenzionato potrebbe indurre un istruttore a visualizzare una pagina che a sua volta potrebbe concedere all'utente malintenzionato privilegi aggiuntivi.

Sebbene la piattaforma stia già utilizzando la protezione del middleware CSRF (Cross-Site Request Forgery) di Django, è stato riscontrato che alcuni endpoint con effetti collaterali utilizzano metodi GET. La patch obbliga questi endpoint a richiedere POST, che abilita correttamente anche la protezione CSRF.

Per ulteriori informazioni, vedere:

- https://docs.djangoproject.com/en/1.9/ref/csrf/

Ti consigliamo vivamente di correggere le tue istanze il prima possibile.

Patch per chi segue da vicino il master:
https://github.com/edx/edx-platform/commit/d54f79f5bf3e1af17063937df1abc…

Patch per corniolo a rilascio con nome:
https://github.com/edx/edx-platform/commit/d929c1cd8ca11d801a03232f200c9…