PT-2021-22439 · Openolat · Openolat
Gnaegi
·
Publicado
2021-09-01
·
Atualizado
2021-09-10
·
CVE-2021-39181
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do OpenOlat anteriores à 15.3.18, 15.5.3 e 16.0.0
Descrição
O OpenOlat é um sistema de gestão de aprendizagem baseado na web. A vulnerabilidade permite que um invasor execute código arbitrário usando um arquivo XML de importação preparado, como um curso, que pode instanciar qualquer classe no classpath do Java, incluindo fábricas de beans Spring AOP. Isso requer uma conta de usuário do OpenOlat com a função de autor e não pode ser explorado por usuários não registrados.
Recomendações
Para versões anteriores à 15.3.18, atualize para a versão 15.3.18 ou posterior.
Para versões anteriores à 15.5.3, atualize para a versão 15.5.3 ou posterior.
Para versões anteriores à 16.0.0, atualize para a versão 16.0.0 ou posterior.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Openolat