セキュリティーアラート

edXプラットフォームのコードレビュー中に、副作用のあるHTTP GETリクエストがいくつか発見されました。このようなリクエストは一般的に望ましくなく、クロスサイトリクエストフォージェリ（CSRF）対策も強化されていません。ある特定のケースでは、スタッフまたはスーパーユーザーへの攻撃によって、ユーザーが権限を昇格される可能性がありました。

詳細情報

このパッチは、悪意のあるユーザーがインストラクターを誘導してページを表示させ、悪意のあるユーザーに追加の権限を付与できる問題を修正します。

プラットフォームは既にDjangoのクロスサイトリクエストフォージェリ（CSRF）ミドルウェア保護を使用していますが、副作用のあるエンドポイントの一部でGETメソッドが使用されていることが判明しました。このパッチは、これらのエンドポイントでPOSTメソッドを必須にすることで、CSRF保護も適切に有効化します。

詳細については、以下を参照してください。

– https://docs.djangoproject.com/en/1.9/ref/csrf/

できるだけ早くインスタンスにパッチを適用することを強くお勧めします。

マスターを注意深く追跡する人のためのパッチ:
https://github.com/edx/edx-platform/commit/d54f79f5bf3e1af17063937df1abc…

名前付きリリースハナミズキのパッチ:
https://github.com/edx/edx-platform/commit/d929c1cd8ca11d801a03232f200c9…