Сигнал безпеки
| Тяжкість: | Medium |
| Категорія: | Уразливість підтвердження електронної пошти |
| Постраждалі проекти: | edx-платформа |
| Репортер: | самооцінка |
| Постійна URL-адреса: |
Під час автоматизованого аудиту безпеки коду платформи edX ми виявили помилку в процесі перевірки електронної пошти та активації облікового запису. Ця помилка дозволяє зловмиснику активувати обліковий запис за допомогою неперевіреної (недійсної або чужої) електронної адреси.
Зазвичай обліковий запис активується, коли користувач підтверджує свою електронну адресу. Активація дозволяє користувачеві входити в LMS і отримувати електронну пошту з платформи.
Ми наполегливо рекомендуємо вам якнайшвидше виправляти свої екземпляри.
Патч для тих, хто уважно стежить за майстром:
https://github.com/edx/edx-platform/commit/95c0b50ebebf8e226fb832d0acb8a…
Латка для іменно-релізного кизилу:
https://github.com/edx/edx-platform/commit/9b1f89d19ad26625859f887b12931…
