CVE

Vulnerabilidad en Open edX (CVE-2024-41806)

Severidad:
MEDIA
Type:
CWE-284 Control de acceso incorrecto
Fecha de publicación:
25/07/2024
Última modificación:
26/07/2024

Descripción

La plataforma Open edX es una plataforma de gestión del aprendizaje. Los instructores pueden cargar archivos csv que contienen información de los alumnos para crear cohortes en el panel del instructor. Estos archivos se cargan utilizando el almacenamiento predeterminado de Django. Con ciertos backends de almacenamiento, las cargas pueden estar disponibles públicamente cuando quien las carga utiliza las versiones master, palm, olive, nutmeg, maple, lilac, koa o juniper. El parche en la confirmación cb729a3ced0404736dfa0ae768526c82b608657b garantiza que los datos de cohortes cargados en los depósitos de AWS S3 se escriban con una ACL privada. Más allá de aplicar parches, los implementadores también deben asegurarse de que las cargas de cohortes existentes tengan una ACL privada o que se tomen otras precauciones para evitar el acceso público.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
5.30
Severidad 3.x
MEDIA

Referencias a soluciones, herramientas e información