Feanil

Nome do software vulnerável e versões afetadas: Versões da plataforma Open edX: master, palm, olive, nutmeg, maple, lilac, koa ou juniper Descrição: O problema está relacionado a um controle de acesso inadequado na plataforma Open edX, especificamente no componente AWS S3 Bucket Handler. Isso pode permitir que um invasor remoto divulgue informações protegidas. Os instrutores podem fazer upload de arquivos CSV contendo informações dos alunos para criar coortes no painel do instrutor e, com determinados back-ends de armazenamento, esses uploads podem se tornar publicamente disponíveis. O patch garante que os dados das coortes enviados para buckets do AWS S3 sejam gravados com uma ACL privada. Recomendações: Para as versões master, palm, olive, nutmeg, maple, lilac, koa ou juniper, aplique o patch no commit cb729a3ced0404736dfa0ae768526c82b608657b para garantir que os dados de coortes enviados para buckets do AWS S3 sejam gravados com uma ACL privada. Além da aplicação do patch, certifique-se de que os uploads de coortes existentes tenham uma ACL privada ou tome outras precauções para evitar o acesso público.

**Nome do software vulnerável e versões afetadas** Versões da plataforma Open edX anteriores à versão que contém o commit 019888f **Descrição** O problema afeta a plataforma Open edX, uma plataforma orientada a serviços para a criação e disponibilização de cursos online. Um usuário com um JWT e escopos limitados poderia acessar `pontos de extremidade da API` além de seus direitos de acesso. **Recomendações** Para versões anteriores à versão que contém o commit 019888f, atualize para uma versão que inclua o patch do commit 019888f para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a `API Endpoints` confidenciais para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Drag and Drop XBlock v2 anteriores à 3.0.0 **Descrição** O problema afeta o Drag and Drop XBlock v2, que implementa uma funcionalidade de arrastar e soltar. Ele está vulnerável a ataques de cross-site scripting em vários campos XBlock. Qualquer plataforma que tenha implantado o XBlock pode ser afetada. **Recomendações** Para versões anteriores à 3.0.0, atualize para a versão 3.0.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos campos XBlock vulneráveis até que o patch seja aplicado. Não há soluções alternativas conhecidas para este problema.