Avviso di sicurezza: attivazione dell'account con e-mail non verificata

20 luglio 2016 | Di

Roberto Raposa (a cura di X)

Allarme di sicurezza

Gravità: Medio
Categoria: Vulnerabilità della verifica dell'e-mail
Progetti interessati: piattaforma edx
Reporter: auto-riferito
URL permanente:  

Durante un controllo di sicurezza automatizzato del codice della piattaforma edX, abbiamo scoperto un bug nel processo di verifica e-mail e attivazione dell'account. Questo bug consente a un utente malintenzionato di attivare un account con un indirizzo e-mail non verificato (non valido o di qualcun altro).

Normalmente, un account viene attivato una volta che un utente ha verificato il proprio indirizzo e-mail. L'attivazione consente all'utente di accedere a LMS e di ricevere e-mail dalla piattaforma.

Ti consigliamo vivamente di correggere le tue istanze il prima possibile.

Patch per chi segue da vicino il master:
https://github.com/edx/edx-platform/commit/95c0b50ebebf8e226fb832d0acb8a…

Patch per corniolo a rilascio con nome:
https://github.com/edx/edx-platform/commit/9b1f89d19ad26625859f887b12931…

 

Caricamento in corso

Risorse

Tempo per altro? Dai un'occhiata agli articoli qui sotto.

La piattaforma Open edX ottiene la certificazione LTI® Advantage
Juniper è qui!
Demo di sponsorizzazione edX
Annullamento della Open edX Conference 2020
Partecipa alla conferenza Open edX 2026!

La conferenza Open edX del 2026 presenterà casi d'uso innovativi per uno dei migliori sistemi di gestione dell'apprendimento online open source al mondo, la piattaforma Open edX, e scoprirà gli ultimi progressi nella progettazione didattica, nella costellazione dei corsi e nei metodi per utilizzare ed estendere la piattaforma Open edX , comprese tecnologie rivoluzionarie, come l'intelligenza artificiale generativa.

Iscriviti