CVE-2021-41242

Versões do OpenOlat anteriores à 15.5.12 e à 16.0.5

Existe uma vulnerabilidade de traversal de caminho no OpenOlat, permitindo que um invasor crie estruturas de diretórios e grave arquivos em qualquer local do sistema alvo, fornecendo um nome de arquivo com um caminho relativo como parâmetro em alguns métodos REST. Isso poderia ser usado para gravar arquivos na pasta raiz da web ou fora dela, dependendo da configuração do sistema e das permissões do usuário do servidor de aplicativos. O ataque requer uma conta de usuário do OpenOlat, uma API REST habilitada e direitos para realizar chamadas REST vulneráveis.

Para versões anteriores à 15.5.12, atualize para a versão 15.5.12 ou posterior.

Para versões anteriores à 16.0.5, atualize para a versão 16.0.5 ou posterior.

Como solução alternativa temporária, considere desativar o módulo REST ou limitar seu acesso por meio de regras de firewall ou do servidor web apenas a sistemas confiáveis.