PT-2020-13351 · Edx · Open Edx
Publicado
2020-05-18
·
Atualizado
2022-04-26
·
CVE-2020-13144
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Open edX Ironwood versão 2.5
Descrição
A vulnerabilidade permite que um usuário execute código Python arbitrário quando o CodeJail não é utilizado. Isso pode ser feito navegando até a tela “Criar novo curso > Nova seção > Nova subseção > Nova unidade > Adicionar novo componente > Botão Problema > Guia Avançado > Código Python personalizado avaliado”, editando o problema e executando o código Python.
Recomendações
Para o Open edX Ironwood versão 2.5, considere usar o CodeJail para impedir a execução de código arbitrário. Como solução temporária, restrinja o acesso ao recurso “Código Python personalizado avaliado” na guia Avançado do botão Problema até que um patch esteja disponível.
Exploit
Correção
Code Injection
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Open Edx