CVE-2021-41152

Versões do OpenOlat anteriores à 15.5.8

Versões do OpenOlat anteriores à 16.0.1

O OpenOlat é uma plataforma de e-learning baseada na web. Nas versões afetadas, um invasor pode modificar o caminho de um download de arquivo solicitado no componente de pastas para apontar para qualquer local no sistema de destino, manipulando a solicitação HTTP. Isso poderia permitir a leitura de qualquer arquivo acessível na pasta raiz da web ou fora dela, dependendo da configuração do sistema e das permissões do usuário do servidor de aplicativos. O ataque requer uma conta de usuário do OpenOlat ou o recurso de usuário convidado habilitado, juntamente com o uso do componente de pasta em um curso. Ele permite apenas a leitura de arquivos, não a gravação, e o invasor deve saber o caminho exato do arquivo.

Para versões anteriores à 15.5.8, atualize para a versão 15.5.8 ou posterior.

Para versões anteriores à 16.0.1, atualize para a versão 16.0.1 ou posterior.

Como recomendação geral, considere atualizar para a versão 16.0.x para garantir que o problema seja resolvido.

No momento, não há soluções alternativas conhecidas para corrigir esse problema; uma atualização é necessária.