Alerta de Segurança
| Gravidade: | Alto |
| Categoria: | CSRF |
| Projetos afetados: | plataforma edx |
| Repórter: | auto-relatado |
| URL permanente: |
Durante uma revisão do código da plataforma edX, algumas solicitações HTTP GET com efeitos colaterais foram descobertas. Tais solicitações são geralmente indesejáveis e não impõem proteção contra falsificação de solicitação entre sites (CSRF). Em um caso específico, os usuários podem aumentar seus privilégios por meio de um ataque contra funcionários ou superusuários.
Mais informações
Este patch corrige um problema em que um usuário mal-intencionado poderia atrair um instrutor para exibir uma página que, por sua vez, poderia conceder privilégios adicionais ao usuário mal-intencionado.
Embora a plataforma já esteja usando a proteção de middleware Cross-Site Request Forgery (CSRF) do Django, alguns endpoints com efeitos colaterais foram encontrados usando métodos GET. O patch força esses endpoints a exigir POST, que também habilita adequadamente a proteção CSRF.
Para mais informações, veja:
- https://docs.djangoproject.com/en/1.9/ref/csrf/
Recomendamos que você corrija suas instâncias o mais rápido possível.
Patch para quem acompanha o mestre de perto:
https://github.com/edx/edx-platform/commit/d54f79f5bf3e1af17063937df1abc…
Patch para dogwood de lançamento nomeado:
https://github.com/edx/edx-platform/commit/d929c1cd8ca11d801a03232f200c9…
