安全警报

11 年 2015 月 29 日，Smit B. Shah 和 Nikhil Srivastava 报告了一个安全漏洞，导致密码重置令牌在 HTTP 引荐来源标头中转发到第三方社交网络。 该漏洞将允许这些第三方的特权用户访问用户生成的密码重置令牌。 解决此错误的补丁于 2015 年 XNUMX 月 XNUMX 日提交。此问题的解决方案已通过 安全通知@edx.org 名单于 30 年 2015 月 XNUMX 日。

常见漏洞和暴露 (CVE) 项目已指定名称 CVE-2015-2286 到这个问题。 这是关于 CVE 列表 （http://CVE.mitre.org)，它标准化了安全问题的名称。

更多信息

edX 页脚中的社交共享链接出现在密码重置电子邮件中指定的目标页面上。 如果用户单击电子邮件链接以重置其密码并随后单击第三方之一 关注我们 edx 页脚中的链接，HTTP Referrer 标头将包含密码重置令牌。 然后，此令牌将在第三方运行的日志或代码中可用。

这个bug是在这个引入的 承诺.

该错误已在此修复 犯罪。